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Editorial 


Der Datenschutz befindet sich in schwerem Gewässer: Konnten wir noch Mitte 2016 über 
eine fortschrittliche Europäische Datenschutz-Grundverordnung (DSGVO) jubilieren (DANA 
2/2016), so brachte die Zeit danach einige politische Dämpfer. 


Der erste Dämpfer kam mit den ersten Referententwürfen zum (allgemeinen) Bundesdaten- 
schutzgesetz als Umsetzungsgesetz zur DSGVO. Diese signalisierten, dass die Bundesregie- 
rung nicht gewillt ist, im Datenschutz innovative Wege weiterzugehen, sondern dass es das Ziel 
ist, soweit dies das europäische Recht überhaupt zulässt, den Datenschutz zurückzuschrauben 
(DANA 4/2016, 180 ff.). Am 1. Februar 2017 krönte die Bundesregierung ihre Bestrebungen 
mit einem Kabinettsbeschluss, der, sollte dieser so Gesetz werden, die Anwendungspraxis vor 
neue ungelöste Probleme stellen wird. Es ist offensichtlich, dass für die Bundesregierung eine 
— unabhängige, aber nicht gerade revolutionär auftretende — Datenschutzaufsicht schon zu viel 
Kontrollverlust darstellt, weshalb sie diese Aufsicht auszubremsen versucht. Die politischen 
Initiativen der Bundesregierung — die nun auch im Sicherheitsbereich tiefe Spuren hinterlas- 
sen — werden orchestriert von Äußerungen von Regierungsmitgliedern, von Merkel über Ga- 
briel bis zu den Tiefen eines Dobrindt, die entweder von geringer Wertschätzung für digitalen 
Grundrechtsschutz oder aber von faktischer Ignoranz zeugen (DANA 4/2016, 172). Digitales 
ist hipp, wenn es Pekuniäres verspricht oder eine Gefahr gewittert wird. Diese Gefahr kann 
im Terrorismus liegen, oder ganz banal darin, dass das Digitale die eigene Wiederwahl für den 
Bundestag beeinträchtigen könnte. 


Ein größerer politischer Tiefschlag für den Datenschutz könnte noch aus den USA kommen, 
nachdem der neue US-Präsident erste Signale abgegeben hat, dass er Persönlichkeitsrechte 
nicht nur verbal gegenüber seinen politischen Gegnern mit Füßen tritt, sondern dass digi- 
taler Grundrechtsschutz auch für seine Politik keine Relevanz hat (die erste Meldung dazu 
auf S. 55). Darin liegt unzweifelhaft eine große Bedrohung. Möglicherweise verbirgt sich 
aber dahinter eine Chance, dass in den USA die aufgeklärt, liberal und humanitär gesinn- 
ten Menschen einen Aufstand wagen und das Pendel politisch zurückschlagen lassen. Darin 
liegt auch insofern für den europäischen Datenschutz eine Chance, wenn die Silicon-Valley- 
Besoffenheit vieler Europäer einer Besinnung auf europäische Werte weicht, zu denen nun 
unbestreitbar der Datenschutz gehört. Gerade die Wirtschaft müsste angesichts des Trump- 
schen Handelsprotektionismus die Chance erkennen, mit einem Grundrechts-Protektionismus 
Geschäfte zu machen. 


Das sind aber derzeit noch ungelegte Eier, über deren Ausbrüten wir in der nächsten DANA 
berichten werden. Die aktuelle Ausgabe befasst sich mit dem Datenschutz als Verbraucher- 
schutz. Vorgestellt werden dabei drei zentrale Themen: die neu eingeführte Verbandsklage 
(Thilo Weichert), die Nutzung von Personendaten als unerkanntes Entgelt für die Bereitstel- 
lung von IT-Services (Tatjana Halm) und die Einwilligung von Minderjährigen (Stefan Ernst). 
Außerdem erfolgt eine umfassende Bestandsaufnahme des Datenschutzes im Bereich der 
Doping-Bekämpfung durch Jacob Kornbeck. Bei aller Größe der globalen Herausforderungen 
ist es eben auch nötig, in den praktischen Anwendungsfeldern des Datenschutzes aktiv zu 
bleiben. 
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Verbraucherverbandsklage bei Datenschutzverstößen 


Am 23.02.2016 trat das am 17.12.2015 
vom Bundestag verabschiedete Gesetz 
zur Verbesserung der zivilrechtlichen 
Durchsetzung von verbraucherschüt- 
zenden Vorschriften des Datenschutz- 
rechts in Kraft. Das Gesetz gibt u. a. 
Verbraucherschutzorganisationen erst- 
mals explizit das Recht, gegen Daten- 
schutzverstöße zu klagen. Die Regelung, 
die auch nach dem Wirksamwerden der 
Europäischen Datenschutzgrundverord- 
nung (DSGVO) Bestand haben wird, 
wird inzwischen vom Verbraucherzen- 
trale Bundesverband (vzbv) gezielt ge- 
nutzt, um den Verbraucherdatenschutz 
bei notorischen Gesetzesverletzern im 
digitalen Konsumbereich durchzuset- 
zen. Der vorliegende Text stellt die Rah- 
menbedingungen und die neuen Mög- 
lichkeiten beim Verbraucherdatenschutz 
vor. 


1 Ausgangslage 


Bis zum Inkrafttreten des neuen Ge- 
setzes waren die Möglichkeiten der 
Verbandsklage zur Durchsetzung des 
Datenschutzes begrenzt und stark um- 
stritten. Zwar haben die Betroffenen 
seit jeher das Recht, zivilrechtlich ge- 
gen Unternehmen vorzugehen, die ihr 
Recht aufinformationelle Selbstbestim- 
mung verletzen. Geltend gemacht wer- 
den können Ansprüche aus den Betrof- 
fenenrechten (Benachrichtigung, Aus- 
kunft, Berichtigung, Löschung, Sper- 
rung) sowie auf Schadenersatz ($$ 7, 
33 ff. BDSG). In der Praxis blieben der- 
artige Gerichtsverfahren aber die große 
Ausnahme. Der Grund dafür ist, dass 
die Betroffenen ihr Recht oft nicht ken- 
nen, dass die Beeinträchtigung oft nicht 
und nicht in ihrem Ausmaß erkannt 
wird bzw. nicht direkt spürbar ist und 
sich zumeist (nur) im Immateriellen 
abspielt, und dass der Klageaufwand 
eines vereinzelten Klägers gewaltig 
und das Prozessrisiko und die Kosten 
oft nicht kalkulierbar sind. Zudem ent- 


wickelt ein Gerichtsurteil nur Wirkung 
zwischen den Betroffenen und hindert 
das Unternehmen bei anderen Kunden 
nicht an der Fortsetzung unzulässiger 
Praktiken. Inwieweit darüber hinaus- 
gehende Klagemöglichkeiten der Be- 
troffenen bestehen, ist äußerst fraglich. 
Nach den $$ 1004 analog, 823 BGB ist 
für Unterlassungs- und Beseitigungs- 
ansprüche eine konkrete individuelle 
Rechtsverletzung und Widerholungs- 
gefahr nötig. Derartiges ist z. B. bei 
technisch-organisatorischen Verstößen 
oft nicht nachweisbar. 

Den Betroffenen steht zudem die un- 
entgeltliche Möglichkeit der Anrufung 
der Datenschutzaufsichtsbehörden 
nach $ 38 BDSG offen, wovon auch 
rege Gebrauch gemacht wird. Wegen 
den begrenzten Ressourcen der Auf- 
sichtsbehörden, für die das Opportuni- 
tätsprinzip gilt, dauert die Bearbeitung 
solcher Beschwerden regelmäßig lange, 
findet oft keinen oder keinen befriedi- 
genden Abschluss und endete bisher in 
vielen Fällen nur in einer rechtlich weit- 
gehend folgenlosen Beanstandung. 

Verbraucherverbände können vorge- 
richtlich durch öffentliche Aufrufe oder 
sonstige Öffentlichkeitsarbeit wider- 
rechtliches Verhalten von Unternehmen 
thematisieren und angreifen. 

Anerkannten Verbraucher- und Wirt- 
schaftsverbänden stand außerdem schon 
bisher nach $ 1 UKlaG die Möglichkeit 
offen, Verbandsklagen gegen Allgemei- 
ne Geschäftsbedingungen (AGB) zu 
erheben, auch wenn deren Gegenstand 
personenbezogene Datenverarbeitung 
ist. Hiervon machten Verbraucherver- 
bände regen und oft erfolgreichen Ge- 
brauch. Dieses Vorgehen wird dadurch 
erleichtert, dass AGB zumeist auf den 
Webseiten der Unternehmen zu finden 
sind und eine vom Einzelfall losgelöste 
abstrakte Prüfung möglich ist. Die nähe- 
ren Umstände der konkreten Datenver- 
arbeitung müssen zumeist nicht festge- 
stellt und analysiert werden. 


Verbraucherverbände sind zudem bei 
Verstößen gegen das UWG gem. $ 8 
Abs. 3 Nr. 3 UWG anspruchsberechtigte 
Stellen. Durch Verbraucherverbände be- 
klagt werden konnten schon bisher z. B. 
gemäß $ 7 Abs. 2 UWG sog. Cold Calls, 
bei denen Verbraucherdaten ohne vorhe- 
rige Einwilligung für werbliche Zwecke 
genutzt wurden. 

Umstritten war bisher, ob und wenn 
ja welchen Datenschutzregelungen 
als Verbraucherschutzgesetze i. S. v. 
8 4 Nr. 11 UWG a. F. anzusehen sind, 
deren Verstoß unlauter ist. Zwar nahm 
die Zahl der Gerichte, die insofern po- 
sitiv entschieden, zu, doch weigerte sich 
insbesondere der Bundesgerichtshof 
bis zuletzt zu akzeptieren, dass Daten- 
schutzrecht weitgehend Markt- und Ver- 
braucherrelevanz hat. 

Auch Konkurrenten im Wettbe- 
werb hatten auf der Basis von $ 8, 3, 3a, 
4 UWG keine weitergehenden Klage- 
möglichkeiten, da gemäß der lange herr- 
schenden Meinung im Schrifttum und 
in der Rechtsprechung das BDSG keine 
Marktverhaltensvorschriften enthielt. 
Die Schutzziele des Persönlichkeits- 
schutzes und des Markt- und Verbrau- 
cherrechts wurden als zu unterschied- 
lich angesehen (s. u. 4). Erfolgreiche 
Klagen von Konkurrenten sind bisher 
äußerst selten geblieben. 

Die nachhaltige Weigerung wesent- 
licher Teile der Rechtsprechung, Da- 
tenschutzregelungen als Marktverhal- 
tensvorschriften anzuerkennen, steht im 
krassen Widerspruch zu der Erkenntnis, 
dass viele Firmen im Informations- und 
Kommunikationssektor, insbesondere 
US-Unternehmen, Datenschutzverstöße 
zur Grundlage ihres Geschäftsmodells 
machten und damit eine Marktmacht 
erlangten, die die analoge Wirtschaft 
weit hinter sich ließ. Insbesondere das 
Google-Unternehmen Alphabet mit 
einer Marktkapitalisierung von 242,5 
Mrd. Dollar und Facebook mit einer 
Kapitalisierung von 304,4 Mrd. Dollar 
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begründen ihre Dominanz fast vollstän- 
dig auf dem Angebot personenbezoge- 
ner Dienstleistungen insbesondere im 
Internet und der Verwendung der da- 
bei erlangten Daten für Werbezwecke 
und konnten damit zu den wertvollsten 
Unternehmen weltweit aufsteigen. Ein 
Ende des Trends der weiter zunehmen- 
den Kommerzialisierung personenbezo- 
gener Daten ist nicht absehbar. 

Die Politik in Deutschland und Europa 
weigerte sich lange, diese Umstände zur 
Kenntnis zu nehmen, schaute verwundert 
nach Kalifornien ins Silicon Valley und 
propagierte für die einheimische Wirt- 
schaft, den dortigen Vorbildern nach- 
zustreben. Erst langsam setzt sich die 
Erkenntnis bei einigen Politikern durch, 
dass der wirtschaftliche Erfolg vieler In- 
formationstechnik- (IT-) Unternehmen 
eine zentrale Grundlage darin findet, 
dass lokale und europäische rechtliche 
Regelungen gebrochen oder schamlos 
ausgenutzt werden. Dies gilt nicht nur 
für den Datenschutz, sondern auch für 
das Steuerrecht — durch den Einsatz in- 
ternationaler Steuervermeidungsstrate- 
gien — oder für das Kartellrecht — etwa 
durch den Aufkauf von konkurrierenden 
oder ergänzenden Start-Ups. Die Ein- 
sicht, dass personenbezogene Daten als 
vermögenswerter Vorteil steuerrechtlich 
relevant sein könnte und dass eine ange- 
botsübergreifende Nutzung von Person- 
endaten Monopole entstehen lassen kann, 
hatte bis heute noch keine gesetzgeberi- 
schen Konsequenzen. Derweil wird über 
handelsrechtliche Übereinkommen ver- 
sucht, sich datenschutzrechtlicher Wett- 
bewerbsbeschränkungen zu entledigen. 

Die Wirkung des bisherigen Rege- 
lungsrahmens und der unzureichenden 
Ausstattung der Datenschutzaufsicht ist, 
dass im Bereich des Datenschutzrechtes 
allgemein wie auch insbesondere im Be- 
reich des Verbraucherdatenschutzes ein 
großes Vollzugsdefizit besteht, das den 
Gesetzgeber zum Tätigwerden veran- 
lasste. 


2 Die neuen Regelungen 


In $ 2 Abs. 1 Unterlassungsklagege- 
setz (UKlaG) wird der Anspruch bei 
verbraucherschutzgesetzwidrigen Prak- 
tiken von einer „Unterlassung“ um eine 
„Beseitigung“ erweitert. In Satz 2 des 
Absatzes heißt es nun: 
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Werden die Zuwiderhandlungen in_ei- 
nem Unternehmen von einem Mitarbeiter 
oder Beauftragten begangen, so ist der 
Unterlassungsanspruch oder der Beseiti- 
gungsanspruch auch gegen den Inhaber 
des Unternehmens begründet. Bei Zu- 
widerhandlungen gegen die in Absatz 2 
Satz 1 Nummer 11 genannten Vorschrif- 
ten richtet sich der Beseitigungsanspruch 
nach den entsprechenden datenschutz- 
rechtlichen Vorschriften. 


In Abs. 2 wurde eine Nr. 11 eingefügt. 


Verbraucherschutzgesetze im Sinne die- 
ser Vorschrift sind insbesondere 

11. die Vorschriften, welche die Zuläs- 
sigkeit regeln 

a) der Erhebung personenbezogener 
Daten eines Verbrauchers durch einen 
Unternehmer oder 

b) der Verarbeitung oder der Nutzung 
personenbezogener Daten, die über ei- 
nen Verbraucher erhoben wurden, durch 
einen Unternehmer, wenn die Daten zu 
Zwecken der Werbung, der Markt- und 
Meinungsforschung, des Betreibens ei- 
ner Auskunftei, des Erstellens von Per- 
sönlichkeits- und Nutzungsprofilen, des 
Adresshandels, des sonstigen Datenhan- 
dels oder zu vergleichbaren kommerzi- 
ellen Zwecken erhoben, verarbeitet oder 
genutzt werden. 


Angefügt wird ein Abs. 2 S. 2: 


Eine Datenerhebung, Datenverarbei- 
tung oder Datennutzung zu einem ver- 
gleichbaren kommerziellen Zweck im 
Sinne des Satzes 1 Nummer 11 liegt 
insbesondere nicht vor, wenn personen- 
bezogene Daten eines Verbrauchers von 
einem Unternehmer ausschließlich für 
die Begründung, Durchführung oder 
Beendigung eines rechtsgeschäftlichen 
oder rechtsgeschäftsähnlichen Schuld- 
verhältnisses mit dem Verbraucher er- 
hoben, verarbeitet oder genutzt werden. 


Die neue Regelung zu den klagebe- 
rechtigten Stellen in $ 4 — Qualifizierte 
Einrichtungen — erhält folgende Fas- 
sung: 


(1) Das Bundesamt für Justiz führt die 
Liste der qualifizierten Einrichtungen, 
die es auf seiner Internetseite in der 
Jeweils aktuellen Fassung veröffent- 


licht und mit Stand 1. Januar eines je- 
den Jahres im Bundesanzeiger bekannt 
macht. Es übermittelt die Liste mit 
Stand zum 1. Januar und zum 1. Juli 
eines jeden Jahres an die Europäische 
Kommission unter Hinweis auf Artikel 
4 Absatz 2 der Richtlinie 2009/22/EG. 
(2) In die Liste werden auf Antrag 
rechtsfähige Vereine eingetragen, zu 
deren satzungsmäßigen Aufgaben es 
gehört, Interessen der Verbraucher 
durch nicht gewerbsmäßige Aufklärung 
und Beratung wahrzunehmen, wenn 

1. sie mindestens drei Verbände, die im 
gleichen Aufgabenbereich tätig sind, 
oder mindestens 75 natürliche Perso- 
nen als Mitglieder haben, 

2. sie mindestens ein Jahr bestanden 
haben und 

3. auf Grund ihrer bisherigen Tätigkeit 
gesichert erscheint, dass sie ihre sat- 
zungsmäßigen Aufgaben auch künftig 
dauerhaft wirksam und sachgerecht er- 
füllen werden. 

Es wird unwiderleglich vermutet, dass 
Verbraucherzentralen und andere Ver- 
braucherverbände, die mit öffentlichen 
Mitteln gefördert werden, diese Vor- 
aussetzungen erfüllen. Die Eintragung 
in die Liste erfolgt unter Angabe von 
Namen, Anschrift, Registergericht, Re- 
gisternummer und satzungsmäßigem 
Zweck. Sie ist mit Wirkung für die Zu- 
kunft aufzuheben, wenn 

1. der Verband dies beantragt oder 

2. die Voraussetzungen für die Eintra- 
gung nicht vorlagen oder weggefallen 
sind. 

Ist auf Grund tatsächlicher Anhalts- 
punkte damit zu rechnen, dass die Ein- 
tragung nach Satz 4 zurückzunehmen 
oder zu widerrufen ist, so soll das Bun- 
desamt für Justiz das Ruhen der Ein- 
tragung für einen bestimmten Zeitraum 
von längstens drei Monaten anordnen. 
Widerspruch und Anfechtungsklage ha- 
ben im Fall des Satzes 5 keine aufschie- 
bende Wirkung. 

(2a) Qualifizierte Einrichtungen, die 
Ansprüche nach $ 2 Absatz I wegen Zu- 
widerhandlungen gegen Verbraucher- 
schutzgesetze nach $ 2 Absatz 2 Satz 
1 Nummer 11 durch Abmahnung oder 
Klage geltend gemacht haben, sind 
verpflichtet, dem Bundesamt für Justiz 
Jährlich die Anzahl dieser Abmahnun- 
gen und erhobenen Klagen mitzuteilen 
und über die Ergebnisse der Abmah- 


nungen und Klagen zu berichten. Das 
Bundesamt für Justiz berücksichtigt 
diese Berichte bei der Beurteilung, ob 
bei der qualifizierten Einrichtung die 
sachgerechte Aufgabenerfüllung im 
Sinne des Absatzes 2 Satz 1 Nummer 3 
gesichert erscheint. 

(3) Entscheidungen über Eintragun- 
gen erfolgen durch einen Bescheid, 
der dem Antragsteller zuzustellen ist. 
Das Bundesamt für Justiz erteilt den 
Verbänden auf Antrag eine Bescheini- 
gung über ihre Eintragung in die Liste. 
Es bescheinigt auf Antrag Dritten, die 
daran ein rechtliches Interesse haben, 
dass die Eintragung eines Verbands in 
die Liste aufgehoben worden ist. 

(4) Ergeben sich in einem Rechtsstreit 
begründete Zweifel an dem Vorliegen 
der Voraussetzungen nach Absatz 2 bei 
einer eingetragenen Einrichtung, so 
kann das Gericht das Bundesamt für 
Justiz zur Überprüfung der Eintragung 
auffordern und die Verhandlung bis zu 
dessen Entscheidung aussetzen. 

(5) Das Bundesministerium der Jus- 
tiz und für Verbraucherschutz wird er- 
mächtigt, durch Rechtsverordnung, die 
der Zustimmung des Bundesrates nicht 
bedarf, die Einzelheiten des Eintra- 
gungsverfahrens, insbesondere die zur 
Prüfung der Eintragungsvoraussetzun- 
gen erforderlichen Ermittlungen, sowie 
die Einzelheiten der Führung der Liste 
zu regeln. 


Eingefügt wurde weiterhin ein $ 12a 
— Anhörung der Datenschutzbehörden in 
Verfahren über Ansprüche nach $ 2: 


Das Gericht hat vor einer Entschei- 
dung in einem Verfahren über einen 
Anspruch nach $ 2, das eine Zuwi- 
derhandlung gegen ein Verbraucher- 
schutzgesetz nach $ 2 Absatz 2 Satz 1 
Nummer 11 zum Gegenstand hat, die 
zuständige inländische Datenschutz- 
behörde zu hören. Satz 1 ist nicht an- 
zuwenden, wenn über einen Antrag auf 
Erlass einer einstweiligen Verfügung 
ohne mündliche Verhandlung entschie- 
den wird. 


3 Auslegung der Regelungen 
Im Folgenden sollen Hinweise für die 


Auslegung der neuen Regelungen gege- 
ben werden. 


3.1 Erfasste Vorschriften und Zweck- 
richtung 


$ 2 Abs. 2 S. 1 Nr. 11 UKlaG zählt 
die Vorschriften nicht ausdrücklich auf, 
deren Verstoß eine Verbandsklage er- 
möglicht. Mit der dynamischen Norm 
werden alle in Deutschland geltenden 
datenschutzrechtlichen Regelungen, 
also insbesondere das BDSG, sonsti- 
ge Landes- und Bundesgesetze sowie 
umsetzende Rechtsverordnungen, und 
künftig auch die DSGVO, erfasst. Ver- 
stöße gegen unternehmensinterne Re- 
gelungen können nicht geltend gemacht 
werden, möglicherweise aber solche ge- 
gen genehmigte Verhaltensregeln nach 
$ 38a BDSG (Art. 40,41 DSGVO), so- 
weit diese allgemeine Gesetzesnormen 
konkretisieren. 

Die Regelung erstreckt die Verbands- 
klagebefugnis auf Vorgänge, bei denen 
es um Werbung, Markt- und Meinungs- 
forschung, das Betreiben einer Auskunf- 
tei, das Erstellen von Persönlichkeits- 
und Nutzungsprofilen (vgl. $ 15 Abs. 3 
S. 1 TMG), Adresshandel, sonstigen 
Datenhandel oder vergleichbare kom- 
merzielle Zwecke geht. Erfasst wird da- 
mit die Erhebung von Verbraucherdaten 
mit Hilfe von Cookies sowie anderen 
Identifikatoren zum Zweck der Profil- 
bildung, der Werbung oder des Daten- 
verkaufs. Persönlichkeitsprofile werden 
dann erstellt, wenn personenbeziehbare 
Daten einer Person zusammengeführt 
und systematisch verknüpft werden, um 
durch analytische Auswertungen neue 
Erkenntnisse über die Betroffenen, etwa 
zur Bonität oder zum Bewegungsverhal- 
ten, zu finden. Die scheinbare normati- 
ve Begrenzung erfasst tatsächlich den 
gesamten „Verbraucherdatenschutz“, 
da als gemeinsame äußere Klammer 
die „kommerziellen Zwecke“ genannt 
werden. Auf die Erkennbarkeit der Ver- 
brauchereigenschaft für die Unterneh- 
men kommt es ebenso wenig an wie bei 
der Anwendung anderer Verbraucher- 
schutzvorschriften. 

Keine kommerziellen Zwecke werden 
verfolgt, wenn ein Unternehmen Ver- 
braucherdaten ausschließlich zur Erfül- 
lung gesetzlicher Pflichten verarbeitet. 
Die Begründung erwähnt insofern die 
8$ 10, 25 KWG. Entsprechendes gilt 
z. B. für die Datenspeicherung nach 
8 147 AO oder nach dem GwG. Werden 


die derart erfassten Daten darüber hin- 
ausgehend aber auch für kommerzielle 
Zwecke - also im Verhältnis zum Ver- 
braucher — verwendet, so ist insofern die 
Verbandsklage möglich. 

Nicht erfasst sind der Arbeitnehmer- 
datenschutz oder der sog. B2B-Bereich, 
da dann „Verbraucher“ nicht betroffen 
sind. Verbraucher ist gemäß $ 13 BGB 
jede natürliche Person, die ein Rechts- 
geschäft abschließt, das überwiegend 
weder ihrer gewerblichen noch ihrer 
selbständigen beruflichen Tätigkeit zu- 
gerechnet werden kann. Erfasst wird 
schon die Suche im Internet, nicht nur 
zur Vorbereitung eines Rechtsgeschäf- 
tes, wenn die erhobenen Daten für Wer- 
bezwecke weiterverwendet werden. Es 
bedarf dabei nicht der Anbahnung eines 
konkreten Geschäftsabschlusses oder ei- 
nes ähnlichen geschäftlichen Kontaktes 
gemäß $ 311 BGB. 

Kontrovers diskutiert wird die Frage, 
inwieweit rechtlich geforderte tech- 
nisch-organisatorisch Maßnahmen 
($ 9 BDSG, Art. 25, 32 DSGVO) zum 
Gegenstand einer Verbandsklage ge- 
macht werden können. Dies wird weit- 
gehend mit dem Hinweis auf die Zweck- 
beschränkung in Nr. 11 abgelehnt. Diese 
Argumentation greift aber nicht, soweit 
bei den Maßnahmen Verbraucherdaten 
betroffen sind. In diesen Fällen wer- 
den kommerzielle Zwecke verfolgt; der 
Zweck der Datensicherheit kann hier- 
von nicht getrennt werden. In der Praxis 
erwiesen sich Sicherheitsdefizite und 
daraus resultierende Datenlecks immer 
wieder als besonders verbraucherschä- 
digend, etwa wenn durch unzureichen- 
de Datensicherheit Nutzungsdaten Un- 
berechtigten zur Kenntnis kamen. Ein 
Schaden für den Verbraucher kann so- 
wohl dadurch entstehen, dass derartige 
Informationen, etwa kompromittierende 
wie z. B. Sexbilder, veröffentlicht wer- 
den oder wenn die erlangten Daten für 
Identitätsdiebstahl und den Missbrauch 
von Accounts verwendet werden. 

Rein technische oder organisatorische 
Mängel ohne direkten Bezug zur Ver- 
braucherdatenverarbeitung, die kei- 
ne Auswirkung auf die Rechtmäßigkeit 
der Verarbeitung haben, etwa Verstöße 
bei der Bestellung des betrieblichen 
Datenschutzbeauftragten, werden nicht 
erfasst. Hat ein Vorgang nur teilweise 
einen Verbraucherbezug, so kann auch 
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nur insofern eine Prüfung durch einen 
Verband erfolgen. 

Nicht erfasst werden vom kollektiven 
Verbandsklagerecht die individuellen 
Betroffenenrechte, also die Rechte auf 
Benachrichtigung, Auskunft, Löschung 
und Sperrung ($$ 33-35, 42a BDSG). 
Etwas anderes kann aber dann gelten, 
wenn ein Unternehmen seine Geschäfts- 
praxis so gestaltet, dass generell und 
systematisch die Betroffenenrechte ver- 
letzt werden und dadurch Einfluss auf 
die Wahrnehmung der Verbraucherrech- 
te generell sowie auf den Wettbewerb 
genommen wird. 

Unter Verweis auf $ 2 Abs. 2 S. 2 
UKlaG wird dargelegt, kommerzielle 
Zwecke würden nicht verfolgt, „wenn 
es um die Begründung, Durchführung 
oder Beendigung eines rechtsgeschäft- 
lichen oder rechtsgeschäftsähnlichen 
Schuldverhältnisses mit dem Verbrau- 
cher“ gehe. Erfasst sein sollten nur 
Praktiken, bei denen personenbezogene 
Daten rechtswidrig zur Handelsware 
gemacht werden. Tatsächlich ist die- 
se explizite gesetzliche Einschränkung 
irritierend. Damit wird zum Ausdruck 
gebracht, dass ein Verbraucherverband 
nicht in die individualrechtliche Bezie- 
hung Unternehmen-Verbraucher ein- 
greifen soll. In der Praxis dürfte dieser 
Einschränkung aber keine Relevanz 
zukommen: Ausgenommen sein können 
nur zulässige Vertragsbeziehungen, bei 
denen letztlich ohnehin kein Unterlas- 
sungs- und Beseitigungsanspruch be- 
steht. Erfasst werden aber Verbraucher- 
vertragsbeziehungen, bei denen es zu 
einer unzulässigen Datenverarbeitung 
kommt. Insofern besteht ein besonders 
hoher Schutzbedarf der Verbraucher. 
Der klassische Fall der Verbraucherver- 
tragsbeziehung ist, dass die Verbraucher 
(auch) mit ihren Daten bezahlen. Derar- 
tige Konstellationen liegen im Hauptfo- 
kus der Neuregelung. 

Die Verbandsklage ist beschränkt auf 
die kommerzielle Datennutzung durch 
Unternehmen ($ 14 BGB). Nicht er- 
fasst werden also Privatpersonen, die 
gelegentlich Waren oder Dienstleistun- 
gen anbieten. Nicht erfasst sein sollen 
auch Non-Profit-Organisationen und 
öffentliche Körperschaften. Dies kann 
aber nur zutreffen, soweit diese nicht 
kommerziell tätig werden. Kommerziell 
tätig sind nicht nur Unternehmen, deren 


DANA » Datenschutz Nachrichten 1/2017 


Datenverarbeitung Bestandteil des Ge- 
schäftsmodell sind, sondern auch sol- 
che, bei denen gelegentlich und zwangs- 
läufig Kundendaten erfasst und verar- 
beitet werden, also z. B. auch Ärzte oder 
Rechtsanwälte. 

Die per Klage zu rügende Handlung 
muss Kollektivinteressen von Ver- 
brauchern berühren. Dies schließt nicht 
aus, dass es sich hierbei zunächst nur um 
Einzelfälle handelt, wenn diese Hinwei- 
se auf ein systematisches Vorgehen ge- 
ben und wenn dem Verbraucherverband 
eine generelle Klärung nötig erscheint. 
Unzulässig ist es, ausschließlich in Ein- 
zelfällen den Ersatz von Aufwendungen 
und Kosten anzustreben ($ 8 Abs. 4 
UWG). 

Eine oben nicht abgedruckte gesetz- 
liche Ergänzung der Neuregelung be- 
steht im Zusammenhang mit dem vom 
Europäischen Gerichtshof für ungültig 
erklärten Safe-Harbor-Rechtsrahmen. 
Nach $ 17 UKlaG findet $ 2 Abs. 18. 1 
Nr. 11 UKlaG keine Anwendung auf 
Zuwiderhandlungen gegen $ 4b BDSG 
(unzulässige Auslandsdatenübermitt- 
lung), wenn diese bis zum 30.09.2016 
begangen wird. Hiermit wurde — unnö- 
tigerweise — Unternehmen ein verlän- 
gerter Vertrauensschutz in Safe Harbor 
gewährt. 


3.2 Aktivlegitimation — Verfahrens- 
fragen 


Die Klageberechtigung ergibt sich aus 
$ 3 UKlaG. Die Gesetzesnovelle wurde 
zum Anlass genommen, eine Anpassung 
an die Verbandsklagebefugnis nach $ 8 
Abs. 3 UWG vorzunehmen. Nach dem 
UKlaG klagebefugt sind also auch Or- 
ganisationen der Wirtschaft zur Be- 
kämpfung unlauteren Wettbewerbs so- 
wie Industrie- und Handelskammern 
und Handwerkskammern. 

8 4 UKlaG regelt im Detail, welche 
Organisationen als qualifizierte Ein- 
richtungen anzusehen sind und deshalb 
klageberechtigt sind. Das Bundesamt 
für Justiz führt eine Liste der qualifizier- 
ten Einrichtungen, die auch im Internet 
abrufbar ist. Der Zweck der Regelung 
ist auch, rechtsmissbräuchliche Abmah- 
nungen und Klagen durch sog. Abmahn- 
vereine zu verhindern. Vor diesem Hin- 
tergrund werden die qualifizierten Ein- 
richtungen verpflichtet, dem Bundesamt 


für Justiz jährlich einen Bericht über die 
Anzahl der nach $ 2 Abs. 2 S. I Nr. 11 
UKlaG erhobenen Abmahnungen sowie 
die „Ergebnisse“ anzuliefern. Von dieser 
Regelung nicht betroffen sind die Ver- 
braucherzentralen, bei denen die Eig- 
nung zur Verbandsklage nach $ 4 Abs. 2 
S. 2 UKlaG unwiderleglich vermutet 
wird. 

$ 12a UKlaG sieht vor, dass vom 
Gericht die zuständige inländische Da- 
tenschutzaufsichtsbehörde angehört 
wird. Die Regelung ist $ 8 Abs. 2 UKlaG 
nachgebildet, der bei der gerichtlichen 
Überprüfung von AGB nach $ 1 UKlaG 
unter bestimmten Voraussetzungen eine 
Anhörung der Bundesanstalt für Finanz- 
dienstleistungsaufsicht vorsieht. Die 
Anhörungspflicht gilt auch für Verfah- 
ren des einstweiligen Rechtsschutzes, 
es sei denn, dass ohne mündliche Ver- 
handlung entschieden wird ($ 12a S. 2 
UKlaG). Wird gegen einen Beschluss 
Widerspruch eingelegt, ist die Anhörung 
nachzuholen. Angehört wird nur die in- 
ländische örtlich zuständige Aufsicht; 
eine solche kann es auch geben, wenn 
die Hauptniederlassung eines Unter- 
nehmens im Ausland sitzt. Ob eine und 
wenn ja welche Stellungnahme abgege- 
ben wird, liegt voll im Entscheidungs- 
bereich der unabhängigen Datenschutz- 
aufsicht. Damit sollen unterschiedliche 
Voten von Gericht und Aufsichtsbehör- 
de wegen unzureichender Information 
über den Sachverhalt und die rechtliche 
Bewertung vermieden werden. Damit 
ist aber nicht ausgeschlossen, dass das 
Gericht zu einem von der Aufsichtsbe- 
hörde abweichenden Ergebnis kommt. 
Einbezogen werden dürfen alle relevan- 
ten Erkenntnisse der Aufsichtsbehörde. 
Diese hat insofern eine Befugnis zur 
Datenweitergabe nach $ 38 Abs. 1 S. 3 
BDSG. Das gerichtliche und ein mög- 
licherweise laufendes aufsichtliches 
Verfahren sind aber ansonsten völlig un- 
abhängig. Die anhängige Klage hindert 
die Aufsichtsbehörde nicht, im Rahmen 
ihrer Befugnisse selbst tätig zu werden. 
Das Verbandsklageverfahren kann sogar 
Auslöser für das aufsichtliche Tätig- 
werden sein. Die Aufsichtsbehörde ist 
im Rahmen der Anhörung nicht Verfah- 
rensbeteiligte. 

Die Anhörungspflicht verletzt nicht 
das Gebot der prozessualen Waffen- 
gleichheit der Parteien. Die Aufsichts- 


behörde ist kein Streithelfer, sondern 
faktisch wie rechtlich der Objektivität 
gegenüber beiden Parteien verpflich- 
tet. Versteht man sie als Partei, so ist 
sie allenfalls Partei für den Schutz in- 
formationeller Selbstbestimmung; ihre 
Aufgabe ist es gemäß $ 12a UKlaG, die 
gerichtliche Entscheidungsfindung in 
dem rechtlich wie technisch oft kom- 
plexen Bereich zu erleichtern, nicht zu 
lenken. Hintergrund der Einbeziehung 
der Aufsichtsbehörde ist zudem, dass 
bei den Verfahren regelmäßig ungleiche 
Parteien gegenüberstehen, wobei das 
Unternehmen zunächst faktisch die Ver- 
arbeitung bestimmen kann. In derartigen 
Fällen ist der Staat nicht nur berechtigt, 
sondern verpflichtet, im Rahmen privat- 
rechtlicher Regelungen die Vorausset- 
zungen zu schaffen, dass das Recht auf 
informationelle Selbstbestimmung als 
Norm des objektiven Rechts Geltung 
erlangt. 


3.3 Unterlassungs- und Beseitigungs- 
anspruch 


Nach $ 8 Abs. 1 UWG besteht schon 
bisher neben dem Unterlassungs- auch 
ein Beseitigungsanspruch. Anderes galt 
für den bisherigen $ 2 UKlaG a. F., der 
seit der Novellierung nun auch einen Be- 
seitigungsanspruch vorsieht. Wurden un- 
zulässig Daten erhoben und gespeichert, 
so ergibt sich aus $ 2 UKlaG, dass diese 
auch zu löschen bzw. zu sperren sind (vgl. 
$ 35 BDSG, $ 13 Abs. 4 S. 1 Nr. 2,S. 2 
TMG). Der Anspruch des klagenden Ver- 
bands hat also denselben Inhalt wie der 
des einzelnen Verbrauchers, beschränkt 
sich aber nicht darauf. Die $ 1004 BGB 
und $ 8 UWG können mit herangezogen 
werden zur Beseitigung einer rechtswid- 
rigen fortdauernden Störung. 

Ist das Unternehmen der Ansicht, dass 
der kollektivrechtlich geltend gemachte 
Beseitigungsanspruch den Interessen sei- 
ner Kunden widerspricht, so kann es da- 
rauf hinwirken, dass die Unzulässigkeit 
der Datenverarbeitung dadurch beseitigt 
wird, dass z. B. wirksame Einwilligun- 
gen der Betroffenen eingeholt werden. 
Ein Interessenkonflikt zwischen Indi- 
viduum und Kollektiv kann auch unab- 
hängig von der Unternehmensansicht be- 
stehen, etwa bei einem kollektivrechtlich 
begründeten Löschungsanspruch und 
einem individualrechtlichen Beweissi- 


cherungsinteresse z. B. zur Durchsetzung 
von Schadenersatzansprüchen. Das Da- 
tenschutzrecht liefert den Regelungsrah- 
men für die Lösung dieses Konflikts: Be- 
steht Grund zu der Annahme, dass durch 
eine Löschung schutzwürdige Interessen 
von Betroffenen beeinträchtigt würden, 
so tritt an die Stelle einer Löschung die 
Sperrung ($ 35 Abs. 3 Nr. 2 BDSG). Ent- 
sprechendes gilt, wenn ein parallel lau- 
fendes aufsichtliches Kontrollverfahren 
stattfindet und hierfür die eigentlich zu 
löschenden Daten benötigt werden. 

Eine rechtswidrige Störung kann 
darin bestehen, dass ein Unternehmen 
seine Verbraucher ungenügend über ihre 
Rechte informiert. Die Beseitigung von 
Störungen kann auch darauf abzielen, 
ein Beschwerdemanagementsystem zur 
Abwicklung konkreter Rechtsverstöße 
einzurichten oder rechtswidrig verein- 
nahmte Beträge an die betroffenen Kun- 
den zurückzuzahlen. 

Bestehen für eine Störungsbeseitigung 
verschiedene Handlungsmöglichkei- 
ten, so ist dem Schuldner die Wahl des 
Mittels zu überlassen. Der Anspruch hat 
sich dann auf die Benennung des Ziels 
zu beschränken, die aber so präzise wie 
möglich sein sollte. 

Ist eine unzulässige Datenübermitt- 
lung Gegenstand einer erfolgreichen 
Verbandsklage, so kann gegenüber dem 
Datenempfänger die Löschung, Sperrung 
oder Berichtigung nicht direkt durchge- 
setzt werden. Wohl aber besteht ein An- 
spruch auf Benachrichtigung des Emp- 
fängers (vgl. $ 35 Abs. 7 BDSG). 

Ein Manko wird darin gesehen, dass 
der Beseitigungsanspruch sich nicht aus- 
drücklich auf $ 1 UKlaG und damit auf 
AGB erstreckt. 

Nicht eindeutig ist, wie weit die Rechts- 
wirkung einer durch einen Verband er- 
strittenen Entscheidung geht. Gemäß 
$ 11 UKlaG können sich Verbraucher auf 
ein auf $ 1 UKlaG beruhendes Unterlas- 
sungsgebot in Bezug auf AGB in eigener 
Sache berufen. Ein Verweis auf $ 2 Abs. 2 
Nr. 11 UKlaG erfolgt in $ 11 aber nicht, 
so dass für Folgeklagen durch Betrof- 
fene ein erhöhtes Prozessrisiko bestehen 
bleibt. 


3.4 Verhältnis zum UWG 


Schon bisher wurden bestimmte da- 
tenschutzrechtliche Vorschriften zu- 


gleich als verbraucherrelevant und als 
Marktverhaltensregelungen i. S. v. $ 3a 
UWG angesehen. Der Unterlassungs- 
anspruch gemäß $ 8 Abs. 1 UWG kann 
gemäß $ 8 Abs. 3 UWG von Wirt- 
schaftsverbänden, Industrie- und Han- 
delskammern, Handwerkskammern und 
auch von Verbraucherschutzverbänden 
geltend gemacht werden. $2 Abs. 2S. 1 
Nr. 11 UKlaG ist ein weiterer Hinweis 
darauf, dass Datenschutzvorschriften 
auch Marktverhaltensvorschriften sind. 
Hierauf kommt es aber in Zukunft nicht 
an, da das UKlaG eine eigenständige 
Klagebefugnis begründet. 


3.5 Europäisches Recht 


Im Laufe der Gesetzgebung wurde 
teilweise vorgebracht, das geplante Kla- 
gerecht für Verbraucherverbände ver- 
stieße gegen europäisches Recht. Art. 28 
der Datenschutzrichtlinie 95/46 EG 
(EG-DSRI) sei bzgl. des Vollzugs des 
Datenschutzrechts abschließend und 
schlösse daher zusätzliche Durchset- 
zungsinstrumente aus. Diese Meinung 
war schon damals falsch, da die Recht- 
sprechung zur verbindlichen Harmo- 
nisierung sich auf materiell-rechtliche 
abschließende Regelungen beschränkte 
und sich nicht auf Rechtsschutzmög- 
lichkeiten bezog. 

Gemäß Art. 80 Abs. 2 DSGVO kön- 
nen nun Mitgliedstaaten vorsehen, dass 
„eine Einrichtung, Organisation oder 
Vereinigung ohne Gewinnerzielungs- 
absicht, die ordnungsgemäß nach dem 
Recht eines Mitgliedsstaats gegründet 
ist, deren satzungsmäßige Ziele im öf- 
fentlichen Interesse liegen und die im 
Bereich des Schutzes der Rechte und 
Freiheiten von Betroffenen Personen in 
Bezug auf den Schutz ihrer personen- 
bezogenen Daten tätig ist“, unabhängig 
von einem Auftrag der betroffenen Per- 
son in diesem Mitgliedstaat das Recht 
hat, bei der „zuständigen Aufsichts- 
behörde eine Beschwerde einzulegen 
und die in den Artikeln 78 und 79 auf- 
geführten Rechte in Anspruch zu neh- 
men, wenn ihres Erachtens die Rechte 
einer betroffenen Person gemäß dieser 
Verordnung infolge einer Verarbeitung 
verletzt worden sind“. Damit wird klar- 
gestellt, dass das deutsche Verbands- 
klagerecht bei Datenschutzverstößen in 
Einklang mit europäischem Recht steht. 
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4 Bewertung 


Im Rahmen des Gesetzgebungsverfah- 
rens hatten sich viele Verbändevertreter 
gegen die Einführung der Verbandskla- 
ge im Datenschutzrecht eingesetzt. So 
wurde von einigen Datenschutzbehörden 
und u. a. auch von der Deutschen Gesell- 
schaft für Rechtsinformatik (DGRI) vor- 
gebracht, es bedürfte keines neuen ver- 
braucherrechtlichen Instrumentariums; 
die bisherigen Instrumente würde ge- 
nügen. Soweit dieses Argument von ver- 
antwortlichen Stellen vorgetragen wurde, 
ist deren Motivation offensichtlich: Die 
Gefahr, dass illegale Geschäftsmodelle 
angegriffen werden, ist mit dem Gesetz 
gestiegen. 

Soweit die Aufsichtsbehörden dieses 
Argument vortrugen, lag dem die unbe- 
gründete Befürchtung zugrunde, Ver- 
braucherorganisationen könnten zur Da- 
tenschutzaufsicht in Konkurrenz treten. 
Tatsächlich ergänzen sich die Kontrollin- 
strumente im Interesse der Verhinderung 
von Rechtsverstößen. Zudem hat das 
Gesetz in $ 12a UKlaG eine Verzahnung 
vorgesehen. Viele Aufsichtsbehörden ar- 
beiten schon effektiv zusammen, ohne 
dass dies die jeweilige Unabhängigkeit 
beeinträchtigt. Die Interessenlagen sind 
weitgehend identisch. Unbestreitbar ist, 
dass sowohl die bisherige Ausstattung 
wie auch die bisherigen Sanktionsmög- 
lichkeiten der Aufsichtsbehörden völlig 
unzureichend waren, was zu einem ge- 
waltigen Vollzugsdefizit beim Daten- 
schutz geführt hat (s. o. 1). Auch wenn 
sich dies möglicherweise mit Inkrafttre- 
ten der DSGVO teilweise ändern wird, 
so sind wir weiterhin weit von rechtskon- 
formen Zuständen entfernt. Schon in der 
Vergangenheit hat sich gezeigt, dass sich 
der zivilgerichtliche Weg von Verbrau- 
cherorganisationen zur Durchsetzung des 
Datenschutzes als erheblich effektiver 
erwies als der verwaltungsrechtliche oder 
sanktionsrechtliche der Aufsichtsbehör- 
den, insbesondere wenn es um flächen- 
deckende Datenschutzverstöße großer 
IT-Unternehmen wie z. B. Facebook, 
WhatsApp, Google usw. ging. Es ist lei- 
der nicht von der Hand zu weisen, dass 
das Handeln der unabhängigen Daten- 
schutzaufsicht in Einzelfällen von sach- 
fremden Erwägungen getrieben wird, 
etwa dem Schutz örtlicher Unternehmen. 
Hierfür gab die Praxis des irischen Da- 
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tenschutzbeauftragten, der Irland für 
US-amerikanische IT-Unternehmen zum 
idealen Standort machte, den beredtsten 
Beleg. Es gibt Hinweise darauf, dass ein 
entsprechendes Denken in dem einen 
oder anderen Fall auch deutsche Auf- 
sichtsbehörden leitet. 

Arbeitsteilung und Kooperationen 
zwischen Verbraucherverbänden und 
Aufsichtsbehörden können darin beste- 
hen, dass konkrete Ermittlungen von 
Aufsichtsbehörden durchgeführt werden. 
Durch die bestehenden Untersuchungs- 
befugnisse können technische-organi- 
satorische wie auch materiell-rechtliche 
Feststellungen gemacht werden, die den 
Betroffenen oder evtl. auch — wenn keine 
entgegenstehenden Rechte verletzt wer- 
den — direkt den Verbraucherverbänden 
zur Kenntnis gegeben werden können. 
Verbraucherverbände haben insofern 
zumeist nur begrenzte Erkenntnismög- 
lichkeiten, die sich auf die Oberfläche 
verbraucherbezogener Datenverarbei- 
tung beschränken. Darin liegt kein un- 
faires Verfahren, sondern dies basiert 
auf dem teilweise sich überschneidenden 
Interesse an der Umsetzung des Daten- 
schutzrechtes. Unternehmen können kein 
berechtigtes Interesse geltend machen, 
dass Datenschutzverstöße andauern. An- 
sätze für Verbraucherklagen können sich 
auch durch journalistische Recherchen 
oder durch Informationen von Whist- 
leblowern ergeben. 

Die Möglichkeit divergierender Ent- 
scheidungen zwischen Verbraucheror- 
ganisationen und Aufsichtsbehörden, 
Zivil- und Verwaltungsgerichten ist keine 
Gefahr, sondern eine Chance, die in einer 
gewaltengeteilten pluralen Gesellschaft 
in vielen Bereichen besteht. Sie liegt 
darin, dass sich die besseren Argumen- 
te durchsetzen, nicht der ökonomische 
oder politische Einfluss, auch nicht eine 
Ansicht einer zuständigen Instanz. Diese 
Divergenzen können letztlich höchstrich- 
terlich beseitigt werden. Das Risiko der 
Verletzung digitaler Grundrechte ist der- 
zeit erheblich höher als das Risiko eines 
Unternehmens, einer falschen Autorität 
zu vertrauen. Mit den bestehenden Ab- 
stimmungsmechanismen in $ 38 Abs. 1 
S. 3, 4 BDSG und nun in $ 12a UKlaG 
wie auch künftig in Art. 31 und 60 ff. 
DSGVO wird das Unternehmensrisiko 
abweichender Meinungen so weit wie 
möglich reduziert. 


Die lange Zeit propagierte Ansicht, 
dass Persönlichkeitsschutz und Ver- 
braucherschutz zwei systemverschie- 
dene Aufgaben seien, hat keinen realen 
Hintergrund. Verbraucherschutz ist in 
Art. 38 GRCh als „softes“ Grundrecht 
ausgestaltet. Die Rechtsprechung sowohl 
des EuGH wie des BVerfG lässt unzwei- 
felhaft erkennen, dass die Verteidigung 
der Grundrechte von Verbrauchern insbe- 
sondere in einer Informationsgesellschaft 
gegenüber mächtigen Unternehmen zu 
einer wichtigen staatlichen Aufgabe ge- 
worden ist. Betroffen von datenschutz- 
widrigem Marktverhalten sind nicht nur 
Einzelpersonen, sondern die Verbraucher 
insgesamt. 


5 Praktisches Vorgehen 


Erhält eine Verbraucherschutzorga- 
nisation von einem Datenschutzverstoß 
Kenntnis, so weist sie das verantwortliche 
Unternehmen auf das unzulässige Han- 
deln hin und fordert es auf, das beanstan- 
dete Verhalten nicht mehr zu praktizieren 
und diesbezügliche eine Unterlassungs- 
erklärung abzugeben. Deren Wirksam- 
keit setzt voraus, dass für den Fall der 
Zuwiderhandlung das Versprechen ei- 
ner Strafzahlung in empfindlicher Höhe 
abgegeben wird. Wird die Abmahnung 
nicht akzeptiert, so kann der Anspruch 
im Regelfall im Wege der einstweiligen 
Verfügung kurzfristig durchgesetzt wer- 
den. Der Abgemahnte hat die Kosten der 
Abmahnung zu erstatten. 

Ein Unterlassungsanspruch kann 
auch ohne eine vorangegangene Ab- 
mahnung gerichtlich geltend gemacht 
werden. In diesem Fall besteht aber das 
Risiko, dass der Beklagte den Anspruch 
sofort anerkennt, so dass der Kläger ge- 
mäß $ 93 ZPO die Prozesskosten tragen 
muss. 

In der Gesetzesbegründung zur aktu- 
ellen Rechtsänderung wird darauf hin- 
gewiesen, dass das neue Recht der Be- 
hebung von Rechtsverstößen dient, nicht 
der Gewinnerzielung abmahnberechtig- 
ter Stellen. Daher sollte insbesondere 
bei Verstößen kleinerer Unternehmen 
(z. B. Start-ups) ein kostenloser Hin- 
weis mit einer Stellungnahmefrist einer 
Abmahnung vorausgehen. Ein solches 
entgegenkommendes Vorgehen darf aber 
nicht dazu führen, dass Verbraucherver- 
bände nun die Funktion einer unentgelt- 


lichen beratenden Rechtsabteilung für 
kleinere Unternehmen übernehmen. 


6. Schlussfolgerungen 


Das neue Verbandsklagerecht hat bis- 
her nicht zu einer neuen Klagewelle beim 
Datenschutz geführt und wird dies auch 
nicht tun. Dem stehen schon die allzu be- 
schränkten Ressourcen der Verbraucher- 
verbände entgegen. Wohl aber besteht ein 
Instrument zur objektiven Rechtskont- 
rolle, mit dem bisherige Vollzugsdefizi- 


Tatjana Halm 


te behoben werden können. Wegen der 
Prozessunlust von Betroffenen und Auf- 
sichtsbehörden besteht beim Datenschutz 
ein Rechtsprechungsdefizit, das mit 
dem neuen Instrument reduziert werden 
kann. Die Verbraucherverbände nehmen 
dieses gezielt in Anspruch, um insbeson- 
dere bei gravierenden und massenhaften 
Rechtsverletzungen Abhilfe zu schaffen, 
etwa beim drohenden Datenaustausch 
zwischen Facebook und WhatsApp. 
Durch die Einführung des Verbands- 
klagerechts hat der deutsche Gesetzgeber 


die richtige Konsequenz aus dem Um- 
stand gezogen, dass Datenschutz nicht 
nur der Wahrung individueller, sondern 
auch kollektiver Schutzgüter dient. Zwar 
enthält die DSGVO keine entsprechenden 
Regelungen, ermöglicht aber in Art. 80 
den Mitgliedstaaten, hieraus prozessua- 
le Konsequenzen zu ziehen. Neben dem 
Verbraucherschutz wäre insofern eine 
Kollektivklagebefugnis im Bereich des 
Beschäftigtendatenschutzes naheliegend, 
da insofern eine vergleichbare kollektive 
Interessenlage besteht. 


Daten als un/entgeltliche Gegenleistung? 


1. Hintergrund 


„Man zahlt mit seinen Daten“ — re- 
gelmäßig ist dieser Satz im Zusam- 
menhang mit der Nutzung vermeintlich 
kostenloser Dienstleistungen zu hören. 
Soziale Netzwerke, Kundenkarten, 
Apps gehören zu diesen Angeboten, die 
der Verbraucher auf den ersten Blick 
scheinbar umsonst nutzen kann. 

Dem ist selbstverständlich nicht so 
und dies ist auch nachvollziehbar. Die 
Anbieter dieser Dienstleistungen ha- 
ben — wie jeder andere Anbieter auch 
— Kosten, die sie begleichen müssen. 
Personal, Mieten, Arbeitsausstattungen 
und Vieles mehr wollen erwirtschaftet 
werden. Es ist ihnen daher gar nicht 
möglich, ihre Leistung kostenlos an- 
zubieten. Das erforderliche Geld zahlt 
allerdings nicht unmittelbar der Nutzer. 
Und hier erschließt sich nun der Sinn 
des einleitenden Satzes, denn der Nut- 
zer zahlt das Geld mittelbar, indem sei- 
ne zur Verfügung gestellten Daten zu 
Geld gemacht werden. Wie auch immer 
sich die jeweiligen Geschäftsmodelle 
ausgestalten. Die wirtschaftliche Be- 
deutung von Daten ist somit enorm.' 
Big Data wird inzwischen in allen Be- 
reichen genutzt und die diesbezügliche 
Entwicklung schreitet immer schneller 
voran. Die Verbraucher allerdings ver- 
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fügen selbst nur selten über den Wert 
ihrer Daten.” Wie selbstverständlich 
werden ihre Daten genutzt. Kaum wird 
noch unterschieden, ob das jeweilige 
Datum für die Vertragserfüllung erfor- 
derlich ist oder ob es sich quasi um eine 
darüber hinausgehende Gegenleistung 
handelt. 

Die Zurverfügungstellung seiner 
Daten ist also der Preis, den der Ver- 
braucher für die Nutzung der jeweili- 
gen Dienstleistung zahlt. Aber wenn 
schlussendlich doch ein Preis gezahlt 
wird, stellt sich zum einen die Frage, 
ob dann nicht entsprechende rechtli- 
che Regeln auf die Gestaltung solcher 
Nutzungsverträge Anwendung finden 
sollten. Und zudem ist zu fragen, wie 
sich die immer größere Verlagerung des 
Datenschutzes in den zivilrechtlichen 
Bereich auf dessen Ausgestaltung ins- 
gesamt auswirkt. 

In der Konsequenz ist zu überlegen, 
ob neben einem Datenschutzrecht 
nicht längst ein Datenschuldrecht an- 
gezeigt wäre, damit die Datenpreisgabe 
auch rechtlich als Währungstyp? oder 
kaufähnliche Gegenleistung anerkannt 
wird. Diese Fragen sollten geklärt wer- 
den, um dem Eingangssatz eine Bedeu- 
tung zu Teil kommen zu lassen und ihn 
nicht nur als rechtfertigende Floskel zu 
erhalten. 


2. Status Quo: Daten als entgeltliche 
Gegenleistung in gesetzlichen Vor- 
schriften? 


Im Folgenden wird also die aktuelle 
Rechtslage im Hinblick auf die Bewer- 
tung von Daten als entgeltliche Gegen- 
leistung erörtert. 


a. Europarechtliche Regelungen 


Die Entwicklung in der europäischen 
Gesetzgebung lässt eine Tendenz dahin 
erkennen, die Hingabe von Daten aus- 
drücklich als Gegenleistung im Ver- 
tragsverhältnis anzuerkennen. 


« Verbraucherrechterichtlinie 
2011/83/EU (VRRL) 


Bereits der VRRL lassen sich Aussa- 
gen zur Datenpreisgabe entnehmen. Un- 
einigkeit besteht zwar zunächst darüber, 
ob die VRRL sowohl entgeltliche als 
auch unentgeltliche Gegenleistungen 
erfasst. Letzteres hätte zur Folge, dass 
die hier behandelten Nutzungsverträge 
nach den Regelungen der VRRL unpro- 
blematisch zu bewerten wären, da es auf 
die Wertung der Datenpreisgabe als Ent- 
gelt nicht ankäme. 

Dem Wortlaut der Art. 2 Nr. 5 und 
Nr. 6 VRRL nach heißt es hinsichtlich 
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Verbraucherverträgen: „und der Ver- 
braucher hierfür einen Preis zahlt“. 
Nach Auffassung des deutschen Ge- 
setzgebers allerdings erfasst die VRRL 
daher nur Verträge, bei denen die Waren 
oder Dienstleistungen gegen Entgelt 
erbracht werden, also entgeltliche Ver- 
träge.* Dies hat sich ungeachtet ande- 
rer Ansichten bei der Umsetzung in die 
deutsche Gesetzgebung so durchgesetzt. 

Jedoch ist weiter zu fragen, wie sich 
das Erfordernis des zu zahlenden Prei- 
ses dabei bestimmt. Dieses ist weit aus- 
zulegen. Daher können auch Verträge, 
bei denen der Verbraucher für die Er- 
bringung einer Dienstleistung oder die 
Lieferung einer Ware dem Unternehmer 
im Gegenzug personenbezogene Daten 
mitteilt und in deren Speicherung, Nut- 
zung oder Weitergabe einwilligt, erfasst 
sein.” Letztendlich ergibt sich daraus, 
dass die Mitteilung personenbezogener 
Daten durchaus als „Preis“ im Sinne der 
VRRL zu sehen ist und somit als ent- 
geltlicher Vertrag zu werten ist. Auf den 
Streit, ob auch unentgeltliche Gegen- 
leistungen von der VRRL erfasst sind, 
käme es somit nicht an. 


Richtlinienvorschlag über vertrags- 
rechtliche Aspekte der Bereitstel- 
lung digitaler Inhalte (DIRL) 


Der zeitlich neuere Richtlinienvor- 
schlag über vertragsrechtliche Aspek- 
te der Bereitstellung digitaler Inhalte 
(DIRL) positioniert sich hier ähnlich.‘ 
Gemäß Art. 2 Nr. 6 DIRL ist unter 
„Preis“ im Sinne des Richtlinienvor- 
schlages zwar noch ‚Geld, das im Aus- 
tausch für bereitgestellte digitale Inhal- 
te geschuldet ist“ zu verstehen. 

Der Anwendungsbereich der RL er- 
streckt sich nach Art. 3 Abs. 1 DIRL 
auf alle Verträge, auf deren Grundlage 
ein Anbieter einem Verbraucher digi- 
tale Inhalte bereitstellt oder sich hierzu 
verpflichtet und der Verbraucher als Ge- 
genleistung einen Preis zahlt oder aktiv 
eine andere Gegenleistung als Geld 
in Form personenbezogener oder ande- 
rer Daten erbringt. Art. 3 Abs. 1 DIRL 
benennt somit ausdrücklich die Daten- 
preisgabe als entgeltliche Gegenleistung 
für das Bereitstellen digitaler Inhalte. 

Dabei ist jedoch Art. 3 Abs. 4 DIRL 
als Bereichsausnahme zu berücksichti- 
gen. Demnach gilt die Richtlinie nicht 
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für Verträge über digitale Inhalte, die 
gegen eine andere Leistung als Geld 
bereitgestellt werden, soweit der Anbie- 
ter vom Verbraucher personenbezogene 
Daten verlangt, „deren Verarbeitung 
für die Erfüllung des Vertrags oder die 
Erfüllung rechtlicher Anforderungen 
unbedingt erforderlich ist, und er diese 
Daten nicht in einer mit diesem Zweck 
nicht zu vereinbarenden Weise weiter- 
verarbeitet. Sie gilt gleichfalls nicht für 
alle anderen Daten, die der Anbieter 
vom Verbraucher verlangt, um sicher- 
zustellen, dass die digitalen Inhalte ver- 
tragsgemäß sind oder den rechtlichen 
Anforderungen entsprechen; diese Da- 
ten dürfen vom Anbieter nicht für kom- 
merzielle Zwecke verwendet werden.“ 

Dieser Ausschluss des Anwendungs- 
bereichs wird der notwendigen Diffe- 
renzierung gerecht, dass Datenverar- 
beitungen, die gesetzlich erlaubt und 
notwendig sind, etwa zur vertraglichen 
Abwicklung, nicht als schuldrechtliche 
Gegenleistungen angesehen werden 
können. Daten sind demnach nur dann 
als wirtschaftliche Gegenleistung einzu- 
ordnen, wenn sie auch als solche genutzt 
werden bzw. wenn sie über das unbe- 
dingt Erforderliche hinausgehen. In der 
Praxis müsste hier genau zu prüfen sein, 
ob dieser Ausschlusstatbestand miss- 
bräuchlich angewendet wird. 

Die DIRL versucht also, auch die 
Verbraucher, die keine Gegenleistung 
in Geld erbringen, in eine mit dem zah- 
lenden Kunden vergleichbare Position 
zu bringen.’ Festgehalten werden kann, 
dass durch Art. 3 DIRL bestimmte Da- 
ten als Gegenleistung für das Bereitstel- 
len digitaler Inhalte normiert werden, 
damit aber weitgehend Neuland betre- 
ten wird, da es keine nationalen gesetz- 
lichen Vorbilder für diese Regelung gibt. 
Positiv zu beurteilen ist, dass sich nun 
alle Rechtsordnungen der Mitgliedstaa- 
ten hierzu positionieren müssen.° 


b. Nationale Regelungen 


Die _Verbraucherschutzvorschriften 
der $$ 310 ff. BGB beruhen zwar auf der 
Verbraucherrechterichtlinie, deren Ziel 
die Vollharmonisierung ist. Dennoch 
verbietet es die Verbraucherrechtericht- 
linie nicht, weitere Vertragstypen in die 
Vorschriften über Verbraucherverträge 
aufzunehmen.’ 


Fraglich ist daher, ob Daten als ent- 
geltliche Gegenleistung bereits jetzt 
vom Anwendungsbereich deutscher 
Vorschriften erfasst sind. Denn durch 
die Anwendung der Vorschriften über 
die Verbraucherverträge könnten Unter- 
nehmer, die eine Leistung gegen „Da- 
tenzahlung“ anbieten, dazu verpflich- 
tet werden, verbraucherschützende 
Vorschriften einzuhalten. Sie müssten 
demnach Informationspflichten erfüllen 
oder gar im Rahmen der Buttonlösung 
auf die Zahlung mit Daten hinweisen. 
Dafür müssten diese Verträge allerdings 
den  Verbrauchervertragsvorschriften 
unterstehen. Alternativ wäre zu über- 
legen, die Datenhingabe als weiteren 
Vertragstyp in die Vorschriften über die 
Verbraucherverträge aufzunehmen. 


e Datenhingabe im Anwendungsbe- 
reich der $$ 312 Abs. 1, 310 Abs. 3 
BGB 


$ 312 Abs. 1 BGB lautet: „Die Vor- 
schriften der Kapitel 1 und 2 dieses Un- 
tertitels sind nur auf Verbraucherverträ- 
ge im Sinne des $ 310 Abs. 3 anzuwen- 
den, die eine entgeltliche Leistung des 
Unternehmers zum Gegenstand haben.“ 
Dies entspricht auch der oben erläu- 
terten Auslegung der VRRL durch den 
deutschen Gesetzgeber. Dem Wortlaut 
nach sind die Regelungen der $$ 310 ff. 
BGB also nur anzuwenden, wenn Ge- 
genstand des Vertrages eine entgeltliche 
Leistung ist. 

Unter „Entgelt“ versteht man zwar 
üblicherweise den Preis, Lohn, Hono- 
rar, Vergütung und Gebühr.!' Daten als 
Gegenstand von Verträgen sind dem 
Wortlaut nach zunächst nicht erfasst. 
Jedoch ist der Begriff des Entgelts weit 
auszulegen.'” Es genügt jede Leistung 
des Verbrauchers'?, weshalb teilweise 
vertreten wird, dass auch die Hingabe 
von Daten ein Entgelt darstellt.'* Dies 
entspricht auch dem gesetzgeberischen 
Willen. Zwar lehnte der Gesetzgeber 
die Erstreckung der Vorschriften auf 
unentgeltliche Verträge — wie bereits 
dargestellt — ausdrücklich ab.'° Gleich- 
wohl bestätigt er ebenso, dass der Be- 
griff des „Entgelts“ weit auszulegen 
sei. So ist der Gesetzesbegründung zu 
entnehmen: 

Schließlich schränkt das Merkmal 
„entgeltliche Leistung“ den Anwen- 
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dungsbereich der Vorschriften auch 
nicht zu weitgehend ein. Insbesondere 
erfordert es nicht, dass das Entgelt in 
der Zahlung eines Geldbetrags liegt. 
Vielmehr ist das Merkmal „Entgelt“ 
weit auszulegen. (...) Es muss sich also 
um einen gegenseitigen bzw. einen Aus- 
tauschvertrag handeln. Auf die Gleich- 
wertigkeit von Leistung und Entgelt 
kommt es nicht an. Daher können Ver- 
träge, bei denen der Verbraucher für die 
Erbringung einer Dienstleistung (...) im 
Gegenzug personenbezogene Daten mit- 
teilt und in deren Speicherung, Nutzung 
oder Weitergabe einwilligt, erfasst sein. 
Lediglich Verträge, bei denen überhaupt 
keine Gegenleistung geschuldet wird, 
sind demnach vom Anwendungsbereich 
ausgenommen.'® 


3. Lösungsansätze 


Werden personenbezogene Daten bis- 
lang gegen Geld oder geldwerte Vortei- 
le ausgetauscht, dann geschieht dies auf 
vertraglicher Grundlage, wie etwa die 
Kundenbindungssysteme'’, Nutzung so- 
zialer Netzwerke oder Apps. Der Nutzer 
stellt hierfür seine Daten zur Verfügung, 
teilweise, weil sie für die Erfüllung des 
Vertrages oder die Nutzung der Dienst- 
leistung erforderlich sind, teilweise aber 
auch darüber hinausgehend. Somit han- 
delt es sich bei der kommerziellen Ver- 
wertung von Daten, die als Gegenleis- 
tung im Rahmen eines Vertrages einge- 
setzt werden, um eine dem Schuldrecht 
typische Austauschbeziehung. 

Zwangsläufig sind aber auch daten- 
schutzrechtliche Belange zu beachten, da 
das informelle Selbstbestimmungsrecht 
des Nutzers hinsichtlich der Nutzung 
seiner Daten betroffen ist. Grundsätz- 
lich lässt sich festhalten, dass das Daten- 
schutzrecht dem Persönlichkeitsschutz 
dient. So kommt man zu dem Ergebnis, 
dass bei der Ausgestaltung eines Da- 
tenschuldrechtes das Datenschutzrecht 
zwingend Berücksichtigung finden muss. 


« Nur bestimmte Daten als Gegen- 
leistung 


Die kommerzielle Verwertung perso- 
nenbezogener Daten ist grundsätzlich 
mangels gesetzlichen Erlaubnistatbestan- 
des nur mit Einwilligung des Betroffe- 
nen möglich. Dies ergibt sich auch aus 
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Art. 6 der Datenschutzgrundverordnung 
(DSGVO). Danach besteht ein generelles 
Verbot der Verarbeitung personenbezo- 
gener Daten mit Erlaubnisvorbehalt. Er- 
laubt ist die Verarbeitung personenbezo- 
gener Daten, wenn sie aufgrund Einwilli- 
gung des Betroffenen gemäß Art. 7 DS- 
GVO erfolgt, oder aber das Gesetz die 
Datenverarbeitung gemäß Art. 6 Abs. 1 
lit. b bis fDSGVO oder gemäß Art. 6 und 
9 der RL 2002/58/EG erlaubt. '* 

Daher sollte die Hingabe von Daten zur 
kommerziellen Verwertung, welche auf- 
grund einer Einwilligung des Betroffenen 
stattfindet, als vertragliche Gegenleistung 
im Sinne der $$ 310 ff. BGB angesehen 
werden. Auf das Erfordernis einer akti- 
ven Übermittlung oder Verschaffung von 
Daten sollte verzichtet werden. Dieses ist 
für die Einräumung der Nutzungsbefug- 
nis durch die Einwilligung gerade nicht 
erforderlich.” 


+ Widerruf und Rückabwicklung 


Bei der Ausgestaltung eines Daten- 
schuldrechts darf nicht unberücksichtigt 
bleiben, dass dem Verbraucher gemäß 
Art. 7 Abs. 3 DSGVO jederzeit der Wi- 
derruf der Einwilligung möglich ist, mit 
der Folge, dass ihm ein Löschungsan- 
spruch im Hinblick auf seine personen- 
bezogenen Daten zusteht, Art. 17 Abs. 1 
DSGVO. Hier ist zu überlegen, wie sich 
ein Widerruf der datenschutzrechtlichen 
Einwilligung auf das Vertragsverhältnis 
der Parteien auswirkt.” Sinnvoll er- 
scheint eine gesetzliche Regelung, die 
den Anbieter im Falle eines Widerrufs 
oder der sonstigen Vertragsbeendigung 
dazu verpflichtet, digitale Inhalte zurück 
zu gewähren und Daten bei Vertragsen- 
de oder im Falle einer Rückabwicklung 
zu löschen.?' Auch eine Klarstellung da- 
hingehend, dass ein Widerrufsverzicht 
nicht möglich ist, erscheint sinnvoll.” 
Zu überlegen wird ebenfalls sein, ob und 
in welcher Form der Anbieter im Falle 
eines Widerrufs der datenschutzrecht- 
lichen Einwilligung die Möglichkeit 
erhält, sich von dem schuldrechtlichen 
Vertrag zu lösen. 


Daten als Entgelt: Anwendung der 
verbraucherschützender Vorschriften 


Es erscheint folgerichtig, zunächst 
eine Klarstellung in $ 312 BGB vorzu- 


nehmen und Daten im oben genannten 
Sinn unter Einwilligungsvorbehalt aus- 
drücklich als Entgelt im Rahmen des 
Verbrauchervertrages anzuerkennen. 
Daneben könnten datenschuldrecht- 
liche Spezialvorschriften geschaffen 
werden, auf welche dann verwiesen 
werden kann. Die Notwendigkeit der 
Schaffung eines neuen Vertragstypen 
wäre vorläufig nicht gegeben. 

Dies hätte zur Folge, dass der Un- 
ternehmer nicht nur die vertraglichen 
essentialia negotii angeben müsste. Ihn 
würden auch die Informationspflich- 
ten nach $ 312 d BGB, Art. 246 a 
EBGBG, Art. 8, 6 Abs. 1 VRRL tref- 
fen. Demnach ist neben den „wesentli- 
chen Eigenschaften der Dienstleistung“ 
etwa auch über den „Gesamtpreis“ 
sowie die „Art der Preisberechnung“ 
und die „Leistungsbedingungen“ zu 
informieren, $ 312 d BGB i.V.m. Art. 
246 aAbs. 1 Nr. 1, Nr. 4, Nr. 7 EGBGB. 
Dies könnte zur Folge haben, dass so- 
wohl der kommerzielle Zweck für den 
die erhobenen Daten verwendet werden 
sollen, angegeben werden muss, als 
auch die Art und Unterart der hiervon 
betroffenen Daten (Bestandsdaten, wie 
etwa Name, Anschrift, E-Mailadresse, 
Nickname oder etwa auch Verkehrs- 
daten, wie die IP-Adresse). Die daten- 
schutzrechtliche Einwilligungserklä- 
rung wäre in dem Vertragsverhältnis 
demnach nicht mehr ausreichend. 

Zudem ist vorstellbar, dass die Hin- 
gabe von Daten als Entgelt für die 
kommerzielle Nutzung des Unterneh- 
mers auch eine Abbildung in der But- 
tonlösung $ 312 j BGB, Art. 8 VRRL 
erfährt. 

Die diesbezüglichen Formulierungen 
beziehen sich aktuell ausschließlich auf 
Verträge, bei denen der Verbraucher als 
Gegenleistung „Zahlung“ erbringt. Da- 
her lauten die zulässigen „Buttonfor- 
mulierungen“ auf Grundlage des Art. 8 
Abs. 2 VRRL aktuell gemäß $ 312 j 
Abs. 3 S. 1 BGB insbesondere „zah- 
lungspflichtig bestellen“ und „Kosten- 
pflichtig bestellen“. 

Es ist angezeigt, hier im Falle eines 
Datenschuldvertrages eine Klarstellung 
in $ 312 j Abs. 3 BGB aufzunehmen. 
Die zugrundeliegende VRRL lautet in 
Art. 8 Abs. 2 wie folgt: 

Der Unternehmer sorgt dafür, dass 
der Verbraucher bei der Bestellung 
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ausdrücklich bestätigt, dass die Bestel- 
lung mit einer Zahlung verbunden ist. 

Nach der hier vertretenen Ansicht, 
stellt die Gegenleistung mit Daten eine 
„Zahlung“ dar. Gibt der Verbraucher 
als Gegenleistungen also seine Einwil- 
ligung in die Verwendung seiner Daten 
für kommerzielle Zwecke, so sollte 
sich seine Vertragserklärung auch auf 
diesen Umstand beziehen. Als But- 
tonformulierung wäre daher durchaus 
denkbar: „datenpflichtig bestellen“. 

Dies würde auch mit Blick auf den 
Sinn und Zweck der Preisangabenver- 
ordnung konsequent erscheinen. Da- 
nach wird das Ziel verfolgt, durch eine 
sachlich zutreffende und vollständige 
Verbraucherinformation Preiswahrheit 
und -klarheit zu gewährleisten, durch 
optimale Preisvergleichsmöglichkeiten 
die Stellung der Verbraucher gegenüber 
Handel und Gewerbe zu stärken und 
den Wettbewerb zu fördern.” 


4. Konsequenzen eines Datenschuld- 
rechts auf den Verbraucherschutz 


Es lässt sich festhalten, dass die ver- 
braucherschützenden Vorschriften des 
BGB entgeltliche Verträge erfassen und 
nach der wohl herrschenden Meinung 
unter „Entgelt“ auch die Hingabe von 
Daten zu verstehen ist. Jedoch scheint 
die ausdrückliche Aufnahme dieses 
Umstandes in den Wortlaut der Norm 
angebracht, da dies aus der Norm selbst 
nicht hervorgeht und hier Klarstellung 
geboten ist.”* Insbesondere besteht das 
Erfordernis der Konkretisierung auch 
im Hinblick darauf, welche Daten als 
schuldrechtliche Gegenleistung anzu- 
sehen sind. 

Dies hätte erhebliche positive Aus- 
wirkungen auf den Verbraucherschutz 
sowie letztlich auch auf den Daten- 
schutz und würde zu einem transparen- 
teren Wettbewerb führen. Würden Da- 
ten ausdrücklich als Währungstyp oder 
kaufähnliche Gegenleistung anerkannt, 
könnten Verbraucher hiervon in erheb- 
lichem Umfang profitieren. 

Denn müssten alle Unternehmer, die 
ihre Dienstleistungen „geldfrei“ gegen 
„Datenzahlung“ anbieten, über den 
Preis und die wesentlichen Eigenschaf- 
ten entsprechend der geltenden Vor- 
schriften informieren, würde der Markt 
auf Dauer für den Verbraucher deutlich 
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transparenter und die Diensteanbieter 
vergleichbarer werden. 

Aufgrund der zur Verfügung gestell- 
ten Informationen könnten die Angebo- 
te und Preise der Diensteanbieter durch 
den Nutzer direkt verglichen werden. 
Dies hätte zur Folge, dass auf Unter- 
nehmerseite der Wettbewerb angeregt 
würde, datengünstige Angebote zu ent- 
wickeln, da der Verbraucher die ver- 
schiedenen Anbieter gerade mit Blick 
auf das Ausmaß der Datenerhebung 
und Verwendung auswählen könnte, 
gerade so, als würde hier der „Preis“ 
verglichen werden. 

Letztendlich könnte der Verbrau- 
cher seinen Datenschutz aktiv selbst 
in die Hand nehmen, in dem er in die 
Lage versetzt wird, bei mehreren unter- 
schiedlichen Angeboten dasjenige zu 
wählen, das den geringsten „Preis“ ver- 
langt, also die wenigsten Daten nutzt. 
Und schließlich würde es der Aus- 
gangsaussage gerecht werden, indem 
der „Zahlung mit seinen Daten“ eine 
rechtliche Entsprechung vorläge. 
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Tatjana Halm ist Referatsleitern des Be- 
reichs Markt und Recht in der Verbraucher- 
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Ich danke an dieser Stelle Frau Julia Berger, 
Rechtsanwältin und Juristin in der Verbrau- 
cherzentrale Bayern für die Unterstützung 
bei der Recherche zu diesem Thema. 
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Stefan Ernst 


Die Einwilligung des Minderjährigen in der DS-GVO 


Minderjährige genießen in diversen 
Rechtsgebieten zu Recht besonderen 
Schutz. Dazu gehören das allgemeine 
Vertragsrecht des Bürgerlichen Gesetz- 
buchs (BGB), das Lauterkeitsrecht des 
UWG! und auch das Datenschutzrecht, 
wo dies in der Datenschutz-Grundver- 
ordnung (DS-GVO) ausdrücklich fest- 
geschrieben wird. Der Beitrag diskutiert 
einige der relevanten Fragen. 


I. Die Definition des Minderjährigen 
im Datenschutzrecht 


Obwohl Kinder in Bezug auf ihre 
personenbezogenen Daten besonde- 
ren Schutz verdienen, weil sie sich der 
betreffenden Risiken, Folgen und Ga- 
rantien und ihrer Rechte bei der Verar- 
beitung personenbezogener Daten in 
der Regel (noch) weniger bewusst sind 
als Erwachsene?, wird dieser Begriff in 
der DS-GVO zwar mehrfach verwen- 
det‘, nicht aber definiert. Die DS-GVO 
geht ersichtlich davon aus, dass eine 
Einwilligung „im Kindesalter gegeben“ 
werden kann.* Es kommt bei Minderjäh- 
rigen daher sowohl eine durch einen Er- 
ziehungsberechtigten erteilte Erklärung 
in Betracht — hier wird das Prinzip der 
Höchstpersönlichkeit einer Einwilli- 
gung durchbrochen - als auch unter be- 
stimmten Voraussetzungen eine Gestat- 
tung durch den Minderjährigen selbst. 

Die im deutschen Recht zuweilen vor- 
genommene Unterscheidung zwischen 
Kindern und Jugendlichen findet sich in 
der DS-GVO nicht. Vielmehr wird hier 
letztlich allein von „Kindern“ gespro- 
chen. Art. 8 Abs. 1 DS-GVO gibt jedoch 
eindeutige Anhaltspunkte darauf, dass 
mit „Kindern“ alle Personen unter 18 
Jahren gemeint sind. 

Art. 8 Abs. 1 DS-GVO sieht bei der 
Einwilligungsfähigkeit in Bezug auf 
Dienste der Informationsgesellschaft 
eine Regelgrenze von 16 Jahren vor. 
Aber auch bei Präventions- oder Bera- 
tungsdiensten, die unmittelbar einem 
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Kind angeboten werden, geht Erwä- 
gungsgrund (EG) 38 davon aus, dass 
eine Einwilligung des Trägers der elter- 
lichen Verantwortung nicht erforderlich 
sei. Dies bezieht sich kaum auf Dienste 
der Informationsgesellschaft? (in Art. 8 
DS-GVO findet sich auch kein Hinweis 
hierzu), gründet aber wohl in der An- 
nahme, dass solche Dienste nicht selten 
aufgrund von Problemen mit den Eltern 
in Anspruch genommen werden. Gleich- 
zeitig setzt Art. 8 Abs. 2 DS-GVO eine 
absolute Untergrenze von 13 Jahren. Ein 
Kind, das noch keine 13 Jahre alt ist, 
kann also selbst keinerlei datenschutz- 
rechtliche Einwilligung geben. 

Im deutschen Recht wurde bislang in 
erster Linie auf die Einsichtsfähigkeit 
abgestellt‘, was durchaus sachgerecht ist 
und bei Jugendlichen unter 16 Jahren im 
Wesentlichen zu gleichen Ergebnissen 
führen wird. Auch die DS-GVO geht im 
Grundsatz davon aus, wenn sie zu einer 
wirksamen Einwilligung das Verständ- 
nis der erforderlichen Erklärungen vor- 
aussetzt. Die Tatsache, dass bei Diensten 
der Informationsgesellschaft eine Gren- 
ze von 16 Jahren angesetzt wird, bei de- 
nen die Jugendlichen eine Einwilligung 
ohne Einfluss der Eltern abgeben kön- 
nen sollen, bedeutet nicht, dass dies bei 
anderen Angeboten nicht möglich ist. 
Es ist aber in strengem Maße darauf zu 
achten, dass sowohl eine Einwilligungs- 
fähigkeit im Allgemeinen als auch ein 
Verständnis für die Implikationen des 
konkreten Falles vorhanden sind. Beruft 
sich der Verarbeiter auf das Vorhanden- 
sein von Einwilligungen 16-Jähriger, ist 
das Transparenzerfordernis (dazu s. u. 
IV.) bezogen auf diese Altersklasse zu 
prüfen. Die Verständlichkeit der Formu- 
lierung muss also höher sein als bei Er- 
wachsenen als Zielgruppe. Davon kann 
bei der überwiegenden Zahl von „Da- 
tenschutzerklärungen“ in der Praxis lei- 
der nicht die Rede sein. Ob Jugendliche 
im Einzelfall von ihrer Reife her einwil- 
ligungsfähig sein können — im Rahmen 


von Art. 8 DS-GVO mit 16 Jahren ge- 
nerell definiert — schließt höhere An- 
forderungen bei der Transparenz nicht 
aus. Letztlich wird diese nicht nur von 
der Einsichtsfähigkeit der Altersklasse 
allein abhängen. Sie ist bezogen auf den 
konkreten Fall und damit in Bezug auf 
Inhalt und Reichweite der Einwilligung 
festzustellen. 

Auf die genaue Rechtsnatur der Ein- 
willigung (rechtsgeschäftliche Erklä- 
rung oder Realakt) kommt es angesichts 
der eindeutigen Regelungen nicht an, 
da die Geschäftsfähigkeit des Betrof- 
fenen insoweit keine Rolle spielt. Der 
Bundesgerichtshof (BGH) sieht sie im 
Rahmen des Bildnisrechts als bloßen 
Realakt an.’ Letzteres ist aus prakti- 
schen Gesichtspunkten fast zwingend, 
da sonst jedes online gestellte Foto vom 
Kindergeburtstag bis zur Party unter 
17-Jährigen von den Eltern genehmigt 
werden müsste. Bei der Annahme der 
Einwilligung eines Minderjährigen ist 
in diesem Zusammenhang aber in jedem 
Einzelfall genau festzustellen, ob dieser 
über die erforderliche Einsichtsfähigkeit 
hinsichtlich der tatsächlich möglichen 
Reichweite seiner Zustimmung verfügt.‘ 
Bei Kindern unter 14 Jahren würde diese 
allerdings ohnehin wohl generell fehlen. 


HI. Besondere Regelung der DS-GVO 
in Bezug auf TK- und Online-Dienste 


Art. 8 der DS-GVO stellt besondere 
Bedingungen für die Einwilligung eines 
Kindes in Bezug auf Dienste der Infor- 
mationsgesellschaft (information socie- 
ty service) auf. Was diese sind, wird in 
Art. 4 Nr. 25 DS-GVO mit einer Bezug- 
nahme auf eine andere EU-Richtlinie 
definiert.” Diese Definition umfasst jede 
in der Regel gegen Entgelt elektronisch 
im Fernabsatz und auf individuellen Ab- 
ruf eines Empfängers erbrachte Dienst- 
leistung.'° Letztlich umfasst dies alle in 
Bezug auf Datenerhebungen interessan- 
ten Telekommunikations- und Online- 
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dienste (inkl. der besonders erhebungs- 
freudigen sozialen Netzwerke, Mes- 
senger-Dienste und Suchmaschinen). 
Dabei ist es unerheblich, ob diese im 
konkreten Fall gegen Entgelt erbracht 
werden, denn derartige Dienste werden 
grundsätzlich nicht kostenfrei betrieben. 
Auch die in den jeweiligen Allgemeinen 
Geschäftsbedingungen (AGB) verlangte 
Gegenleistung der Preisgabe personen- 
bezogener Daten ist im Übrigen bereits 
als Entgelt zu werten. 

Art. 8 Abs. 1 DS-GVO statuiert zu- 
nächst, dass eine Einwilligungnach Art. 6 
Abs. 1 lit. aDS-GVO nur ab dem 16. 
Lebensjahr erklärt werden kann.'' Da- 
vor ist die Verarbeitung nur rechtmäßig, 
sofern und soweit diese Einwilligung 
durch den Träger der elterlichen Verant- 
wortung für das Kind oder mit dessen 
Zustimmung erteilt wird. 

Art. 8 Abs. 2 DS-GVO bestimmt 
ferner, dass der Verantwortliche un- 
ter Berücksichtigung der verfügbaren 
Technik angemessene Anstrengungen 
unternehmen muss, um sich in solchen 
Fällen zu vergewissern, dass die Ein- 
willigung durch den Träger der elterli- 
chen Verantwortung für das Kind oder 
mit dessen Zustimmung erteilt wurde. 
Hierfür wird das bloße Ankreuzen ei- 
nes Feldes „Ich bin über 16°“ ebenso 
wenig ausreichen wie ein Kreuzchen 
bei einem Feld „Meine Eltern haben 
zugestimmt“.!?” Vielmehr wird eine Art 
Double-Opt-In-Verfahren durch eine 
Rückfrage bei den Eltern zumutbar und 
nötig sein.'* Hier steht allerdings das 
Problem im Raum, dass eine vom Ju- 
gendlichen angegebene E-Mail-Adres- 
se kaum verlässlich dem Erziehungsbe- 
rechtigten zuzuordnen wäre.'* Weitere 
Angaben werden daher zur Verifizie- 
rung erforderlich werden. Das Risiko 
des Fehlens einer wirksamen Einwilli- 
gung liegt ohnehin beim Verantwortli- 
chen (Art. 7 Abs. 1 DS-GVO).' 


II. Der Referentenentwurf zum 
Datenschutz-Anpassungs- und -Um- 
setzungsgesetz EU (DSAnpUG-E) 


Kinder finden ferner Erwähnung im 
Entwurf zu $ 14 Abs. I Nr. 2 DSAn- 
pUG-EU, nach dem der Bundesbe- 
auftragte für den Datenschutz und die 
Informationsfreiheit u. a. die Aufga- 
be besitzt, die Öffentlichkeit für die 
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Risiken, Vorschriften, Garantien und 
Rechte im Zusammenhang mit der 
Verarbeitung zu sensibilisieren und sie 
darüber aufzuklären. Im zweiten Satz 
heißt es dann ausdrücklich: „Besonde- 
re Beachtung finden dabei spezifische 
Maßnahmen für Kinder“. Weitere Äu- 
Berungen oder Regelungen zum Thema 
Minderjährige finden sich im Referen- 
tenentwurf nicht. Der Schutz der unter 
18-Jährigen richtet sich also allein nach 
der DS-GVO. Zu den Aufgaben des 
Bundesdatenschutzbeauftragten gehört 
demnach das Erstellen von Broschüren, 
mit denen Jugendliche über die Risiken 
der Preisgabe von personenbezogenen 
Daten besonders aufgeklärt werden. 


IV. Die Einwilligung des Minderjäh- 
rigen in AGB 


Auch und gerade im Bereich Min- 
derjährige wird eine Einwilligungser- 
klärung in der Regel klauselmäßig vor- 
formuliert sein. Dies ist vom Grundsatz 
her unbedenklich, in der Praxis aber in 
vielen Fällen nicht nur äußerst proble- 
matisch, sondern geschieht viel zu häu- 
fig schlicht nicht gesetzeskonform. Die 
für alle Betroffenen gleichermaßen gel- 
tenden Fragen zur Einwilligung (Z. B. 
die Koppelung der Einwilligung oder 
eine kartellähnliche Angebotslage und 
ihre Widerruflichkeit) sollen hier nicht 
diskutiert werden.‘ 


1. Grundsätzliches 


Grundsätzlich ist die Verwendung 
von vorformulierten Einwilligungser- 
klärungen selbst dann möglich, wenn 
sich diese zusammen mit anderen As- 
pekten in AGB finden. Hierfür gilt zu- 
nächst Art. 7 Abs. 2 DS-GVO, wonach 
die datenschutzrechtliche Einwilligung 
zum einen in verständlicher und leicht 
zugänglicher Form in einer klaren und 
einfachen Sprache und zum zweiten so 
zu erfolgen hat, dass sie von den ande- 
ren Sachverhalten klar zu unterschei- 
den ist. Die Datenschutzklausel in den 
AGB muss demnach besonders hervor- 
gehoben werden. Es bedeutet gleich- 
zeitig, dass der Nutzer zumindest den 
Hinweis erhalten muss, dass sich inner- 
halb der AGB auch eine datenschutz- 
rechtliche Einwilligung verbirgt. Fehlt 
es daran, liegt keine Einwilligung vor.'” 


Das schlichte „Ich stimme den AGB 
zu“, das im allgemeinen Vertragsrecht 
ansonsten ausreichend ist, genügt daher 
nicht. 


2. Möglichkeit zur Kenntnisnahme 


Die Abgabe der von Art. 4 Nr. 11 
DS-GVO für eine wirksame Einwilli- 
gung verlangten informierten Erklä- 
rung (die Entwurfsversion sprach von 
einer „Erklärung in Kenntnis der Sach- 
lage“) setzt voraus, dass der Betroffe- 
ne die Möglichkeit hat, den Inhalt der 
von ihm erwarteten Erklärung in zu- 
mutbarer Weise zur Kenntnis zu neh- 
men. Dies hat besondere Bedeutung 
bei vorformulierten Einwilligungen im 
Rahmen von AGB und „Datenschutz- 
erklärungen“, die ebenfalls als AGB zu 
werten sind. 

Versteckte Hinweise, technische 
Textformate, die nicht jedem Nut- 
zer zugänglich sind oder undeutliche 
Schriftarten können diese Zumutbar- 
keit ebenso hindern wie überlange Tex- 
te. Erklärungen über mehrere Seiten 
sind nur dann zumutbar, wenn dieser 
Umfang tatsächlich erforderlich ist, 
um den Sachverhalt zu erläutern. Die 
Lektüre von AGB mit mehreren DIN- 
A4-Seiten Inhalt ist schlicht unzumut- 
bar'®, wobei es dann auch keine Rolle 
spielt, wenn die darin enthaltene und 
hinreichend hervorgehobene (Art. 7 
Abs. 2 DS-GVO) datenschutzrechtli- 
che Einwilligung kurz ist. Anderenfalls 
besteht nicht nur der Verdacht, dass der 
Verwender von der Lektüre abschre- 
cken möchte, sondern es fehlt letzt- 
lich schlicht an der Zumutbarkeit der 
Kenntnisnahme. 

An einer Zumutbarkeit fehlt es auch, 
wenn der Betroffene die Erklärungen 
an mehreren unterschiedlichen Stel- 
len oder nur anhand von mehrstufigen 
Verweisen findet. Die Verwendung 
mehrerer Klauselwerke, gleich ob ne- 
beneinander oder kaskadenartig, ist 
geeignet, die Einbeziehung der gesam- 
ten Regelungen mangels Zumutbarkeit 
der Lektüre und mangels Transparenz 
zu verhindern. In solchen Fällen spielt 
es auch keine Rolle, ob der Nutzer ein 
Kästchen „Ich bin mit den AGB ein- 
verstanden“ oder womöglich noch mit 
dem unsinnigen Zusatz „Ich habe die 
AGB verstanden“ angekreuzt hat. 
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3. Transparenzgebot 


Kenntnis der Sachlage verlangt zu- 
gleich, dass die entsprechende Erklä- 
rung verständlich ist, da sonst von ei- 
ner informierten Einwilligung nicht die 
Rede sein kann (siehe auch Art. 5 Abs. 
1 lit. a!’ und Art. 12 DS-GVO). Hiermit 
ist nicht nur eine verständliche Sprache 
gemeint, sondern auch die Abwesenheit 
unnötigen technischen oder fremdspra- 
chigen Fachvokabulars, dessen Bedeu- 
tung nicht allen potentiellen Adressaten 
ohne Weiteres bekannt ist. 

Dies ist bei Minderjährigen nicht un- 
problematisch, wobei unerheblich ist, 
ob diese „in der Regel von Technik mehr 
verstehen als Erwachsene“. Es geht 
nicht um das Verständnis der Technik, 
sondern um die Bedeutung der Einwilli- 
gungserklärung und ihrer Folgen. Wenn 
der Betroffene zu verstehen geben soll, 
dass er mit der Verarbeitung der ihn be- 
treffenden personenbezogenen Daten 
einverstanden ist, muss er beim Lesen 
des Datenschutzhinweises in der Lage 
sein, diesen inhaltlich vollumfänglich 
zu erfassen. Möchte der Verarbeiter die 
Einwilligung eines 16-Jährigen ein- 
holen, muss er seine deren Reichweite 
erklärenden Hinweise entsprechend 
verständlich fassen. Für eine auf einen 
Minderjährigen zugeschnittene Einwil- 
ligungserklärung genügt es hier nicht, 
unpersönliche Formulierungen ledig- 
lich durch ein penetrantes „Du“ zu er- 
setzen („Mit der Teilnahme am sozialen 
Netzwerk stimmst du der Verwendung 
deiner Daten zu“ o. Ä.). Der betroffene 
Minderjährige muss vielmehr nach der 
Lektüre der Einwilligungserklärung klar 
wissen (können), wer nach der von ihm 
zu gebenden Einwilligung welche seiner 
Daten zu welchem Zweck und über wel- 
chen Zeitraum hinweg nutzen möchte. 


4. Sprachproblem 


An einer informierten Einwilligung 
fehlt es ferner, wenn diese nicht in ei- 
ner für den Betroffenen verständlichen 
Sprache verfasst ist (vgl. Art. 7 Abs. 2 
DS-GVO).?° Damit ist vor allem die 
Verwendung von deutscher Sprache für 
deutsche Nutzer gemeint. Auch wenn 
die Kenntnis der englischen Sprache 
weit verbreitet ist, wäre das Erfordernis, 
die englische Rechtssprache zu begrei- 
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fen, ein Kriterium, das die Transparenz 
hindert. Selbst deutsche Juristen, die 
des Englischen mächtig sind, verste- 
hen nicht zwingend die Feinheiten der 
fremden Rechtssprache. Erwartet ein 
internationaler Anbieter von deutschen 
Nutzern eine datenschutzrechtliche Ein- 
willigung, muss diese in deutscher Spra- 
che gefasst sein.?! 


V. Fazit 


Nicht zu Unrecht wird beklagt, dass 
die meisten Nutzer von Online-Diensten 
keine Ahnung haben, was mit ihren Da- 
ten wirklich geschieht. „Es beginnt im- 
mer mit dieser kleinen Lüge: Ich habe 
die Datenschutzbestimmungen gelesen 
und erkläre mich mit ihnen einverstan- 
den“. Und dies gilt umso mehr bei 
Jugendlichen. Wie wenig Verständnis 
schon für die Reichweite der offenen 
Datenverwendung bei Foto- und Video- 
portalen besteht, zeigt sich in den Pein- 
lichkeiten, die dort publiziert werden.” 
Woher soll dann das Verständnis für die 
Bedeutung der sonstigen Verwendung 
dieser Inhalte durch den Portalbetreiber 
kommen, mit denen die Jugendlichen 
dann im schlimmsten Fall womöglich 
noch ein ganzes Leben lang umgehen 
müssen? 
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11 Die Mitgliedstaaten können durch 
Rechtsvorschriften zu diesen Zwecken 
eine niedrigere Altersgrenze vorsehen, 
die jedoch nicht unter dem vollende- 
ten dreizehnten Lebensjahr liegen darf 
(Öffnungsklausel des Art. 8 Abs. 1 Satz 
3 DS-GVO). Im Referentenentwurf zum 
DSAnpUG-EU findet sich allerdings 
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Jacob Kornbeck’ 


Einwilligung oder gesetzliche Regelung”? 


Die Wahl der Rechtsgrundlage bei Datenübermittlungen der NADA Deutschland in 
Drittländer zu Anti-Doping-Zwecken gemäß EU-Datenschutz-Generalverordnung 


“The legal status of data protection as a fundamental right is crucial to understanding the importance 


which Europeans give to it.” 


1. Einleitung 
1.1. Kontext und Fragestellung 


Als in der EU tätige Nationale Anti- 
Doping-Organisation (NADO) muss 
auch die Stiftung Nationale Anti-Do- 
ping-Agentur (NADA) Deutschland 
Erwartungen der World Anti-Doping 
Agency (WADA) und ihrer Stakeholder 
— des IOC und sonstiger Sport Gover- 
ning Bodies (SGBs) — im Hinblick auf 
Datenaustausch und Datenübermittlung 
entsprechen, ohne die in der EU gelten- 
den datenschutzrechtlichen Vorgaben 
zu verletzen. Die Wahl der Rechts- 
grundlage stellt dabei aufgrund des be- 
sonderen datenschutzrechtlichen Recht- 
mäßigkeitsvorbehalts nach Bundesda- 
tenschutzgesetz (BDSG), EG-Daten- 
schutz-Richtlinie 95/46/EG? (DS-RL) 
und (ab 2018) EU-Datenschutz-Grund- 
verordnung (VO 2016/679)* (DSGVO) 
eine besondere Hürde dar. Während ne- 
ben Einwilligung oder gesetzlicher Re- 
gelung auch noch durch einen individu- 
ellen Vertrag, Standardvertragsklauseln 
oder verbindliche konzerninterne Da- 
tenschutzvorschriften „geeignete Ga- 
rantien“ geschaffen werden können, be- 
zweckt die vorliegende Untersuchung 
eine vergleichende Analyse von Einwil- 
ligung und gesetzlicher Regelung nach 
den Vorgaben der DSGVO, da in Sport 
und Anti-Doping traditionell systema- 
tisch auf die Einwilligung rekurriert 
wird.® Dabei stellt in Deutschland seit 
dem 1.1.2016 für die NADA das Anti- 
Doping-Gesetz (AntiDopG)® eine ge- 
setzliche Regelung besonderer Art dar, 
während die zunehmende Einbeziehung 
von Strafverfolgungsbehörden erlaubt, 
besonders für diesen Bereich geltende 
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Rechtsgrundlagen in Anspruch zu neh- 
men. 

Für die Arbeit der NADOs grundsätz- 
lich (vorbehaltlich nationalen Rechts) 
maßgeblich sind der World Anti-Do- 
ping Code (WADC)’, „kein förmliches 
Gesetz, sondern ein privatrechtlicher 
Leitcodex‘®, und die „International 
Standards“” (IS) der WADA, die auf 
eine weltweite Integration und Harmo- 
nisierung des Anti-Doping-Kampfes 
abzielen, selbst jedoch keine Rechts- 
kraft besitzen. Denn die von sämtlichen 
EU-Mitgliedstaten ratifizierten Anti- 
Doping-Übereinkommen („Konventio- 
nen“) von Europarat'’ und UNESCO" 
überlassen den Vertragsstaaten die Wahl 
des Instruments zur Umsetzung ihrer 
völkerrechtlichen  Verpflichtungen'?, 
und verpflichten lediglich zur „Einhal- 
tung“ der „Regelungen des WADC“." 
Auch das Unionsrecht (einschl. Art. 165 
AEUV zum Sport) verpflichtet in keiner 
Weise zur Schaffung einer gesetzlichen 
Regelung. Einige Staaten haben die 
Bestimmungen des Codes per Gesetz 
oder Erlass ins nationale Recht inte- 
griert, jedoch ergibt sich EU-weit ein 
recht heterogenes Bild.'* Das AntiDopG 
verweist nicht auf den WADC, sondern 
lediglich auf Anlage I zum UNESCO- 
Übereinkommen, die ausdrücklich kei- 
ne völkerrechtliche Rechtskraft besitzt'® 
und somit (anders als von der WADA 
vertreten!‘), selbst wenn national „über- 
tragen“'”, nicht als Rechtsgrundlage der 
Datenverarbeitung dienen kann. 

Vor diesem Hintergrund soll hier un- 
tersucht werden, wie sich die Frage 
„Einwilligung oder gesetzliche Rege- 
lung?“ nach den Vorgaben der DSGVO 
stellt. Bei der Würdigung der durch 
88 8-10 AntiDopG geschaffenen Mög- 


lichkeiten ist ferner auf Erwägungsgrund 
112 (EG 112) DSGVO einzugehen, 
die ausdrücklich Genehmigungen für 
Datenübermittlungen zu Anti-Doping- 
Zwecken vorsieht, sowie auf die dabei 
vorzunehmende Rechtsgüterabwägung. 


1.2 Forschungsstand 


Erkannt wurde das Problempotential 
Anti-Doping/Datenschutz in politischen 
Kreisen ab 2008 im Zusammenhang 
mit der Verabschiedung des (2011 revi- 
dierten) WADA-Datenschutzstandards 
ISPPPL.'® Als sich die Art.-29-Daten- 
schutzgruppe (WP29) der nationalen 
Aufsichtsbehörden mit WADC- und 
ISPPPI-Normen befasste'”, folgten 
WADA/EU-Kommunikationsproble- 
me", doch bereits im Mai 2009 erkannte 
eine EU-weite Tagung mit WADA-Teil- 
nahme die Probleme an?'. Eine ähnliche 
EU-Tagung befasste sich im Juni 2016 
(ebenfalls mit WADA-Teilnahme) mit 
den Implikationen der DSGVO.” Doch 
obwohl NADOs nicht erst 2009 be- 
gannen, Athletendaten zu verarbeiten, 
begann eine rechtswissenschaftliche 
Fachdiskussion relativ spät. Anfang der 
2000er Jahre sollen in der Schweiz erst- 
mals Datenverarbeitungsoperationen im 
Sport zum Gegenstand von Empfehlun- 
gen der kantonalen und eidgenössischen 
Aufsichtsbehörden geworden sein.” Der 
Autor einer Schweizer (arbeitsrechtli- 
chen) Dissertation, Flueckiger**, stellte 
schon vor 2009 gravierende Rechtsver- 
letzungen durch SGBs und NADOs? 
sowie ein überraschend fehlendes Un- 
rechtsbewusstsein hinsichtlich beste- 
hender datenschutzrechtlicher Vorga- 
ben fest. Die Ursache dieser Problema- 
tik sah Flueckiger im bislang schwieri- 
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gen Zugang zu den Schweizer Gerichten 
und dem dadurch verursachten Eindruck 
der SGBs, nicht dem staatlichen Recht 
unterworfen zu sein.”’” Flueckiger er- 
hoffte sich eine Bewusstseinsänderung 
der SGBs und einen künftig besseren 
Schutz der Athleten-Persönlichkeits- 
rechte?® und widmete der Problematik 
der internationalen Datenübermittlung 
eine dreiseitige Darstellung aufgrund 
des Schweizer Datenschutzgesetzes so- 
wie des Datenschutz-Übereinkommens 
des Europarats („Convention 108“). 
Aus Deutschland sind zu unserem The- 
ma bislang drei rechtswissenschaftliche 
Dissertationen bekannt. Trotz einiger 
Vorbehalte sahen Niewalda°’und Mort- 
siefer’', deren Werke von Weichert”” 
stark kritisch bewertet wurden, das ge- 
genseitige Verhältnis Anti-Doping-Reg- 
lements und Datenschutzrecht nicht als 
besonders problematisch an. Eine weni- 
ger vorteilhafte Einschätzung findet sich 
in der Dissertation der Ex-Handballspie- 
lerin Neuendorf”, die auch persönliche 
Erfahrungen als ehemalige Spitzen- 
sportlerin mit einfließen ließ.°* Neuen- 
dorf untersuchte die vor Inkrafttreten 
des AntiDopG in Deutschland geltende 
Regelung, als mangels gesetzlicher Re- 
gelung ausschließlich auf Athletenein- 
willigungen zurückgegriffen wurde, die 
Verpflichtungen rein privatrechtlicher 
Natur waren und aufgrund dynamischer 
Verweisungen bestanden, welche „trotz 
ihrer Vorteile für das sportverbandliche 
System [...] einer gerichtlichen Kont- 
rolle nicht standhalten würden“. „Die 
umfängliche Verarbeitung [...] hoch- 
sensibler [insbes. medizinischer, J.K.] 
Daten lässt sich mit dem Interesse einer 
effektiven Dopingbekämpfung wohl 
kaum rechtfertigen“, so das Fazit der 
Dissertation, in der ein zukünftig besse- 
rer Schutz der informationellen Grund- 
rechte der Athleten gefordert wird.°° 
Aus dem weiteren Schrifttum bekannt 
ist eine begrenzte Fachdiskussion insbe- 
sondere seit 20097, die teilweise mit der 
relativen Verbandsnähe der Autoren zu- 
sammenzuhängen scheint. So wunderte 
sich der Landesbeauftragte (LfD) für 
den Datenschutz des Landes Schleswig- 
Holstein (SH) Weichert (Mitherausgeber 
einer amtlichen Stellungnahme zur Pro- 
blematik°®) in einer Buchbesprechung” 
zur Dissertation von Niewalda® über 
dessen Rechtfertigung des Systems der 
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Meldepflichten (,Whereabouts“) und 
bezeichnete die ADAMS-Datenbank 
(Anti-Doping Administration and Ma- 
nagement System) der WADA als „in- 
formationstechnisch großkalibriges, 
leider nicht besonders ausgeklügeltes 
Kontroll- und Überwachungssystem“, 
wohingegen er ein vom sportfernen 
Arbeitsrechtler Wedde (im Auftrag der 
Basketballspielergewerkschaft SPIN) 
erarbeitetes Rechtsgutachten*! lobte. 
Die von internationalen Sportgewerk- 
schaften veröffentlichten Forschungsbe- 
richte*? und Stellungnahmen‘ schienen 
Weichert Recht zu geben. Vom Bundes- 
datenschutzbeauftragten a. D. Schaar 
liegt ebenfalls ein Manuskript vor.“ 
Jüngst wurden in Deutschland die (nicht 
nur datenschutzrechtlich) bedenkliche 
Praxis zur Veröffentlichung von Anti- 
Doping-Test-Ergebnissen und -Sper- 
ren® sowie (vom Anti-Doping-Kampf 
losgelöst) die zunehmende Verwendung 
von „big data“ im Sport“ diskutiert, 
während ein IT-Tool Namens eves kom- 
mentiert wurde.” 


2. Einwilligung oder gesetzliche 
Regelung? 


2.1. Datenschutzrechtliche 
Erfordernisse 


Der Nachweis einer Rechtsgrundlage 
der Datenverarbeitung ergibt sich nach 
Art. 8 Abs. 2 EU-Grundrechtecharta®®, 
gestützt durch Art. 16 AEUV als zwin- 
gend erforderlich und ist im abgeleite- 
ten Recht entsprechend normiert (Art. 7 
DS-RL; Art. 6 Abs. 1 DSGVO; $ 4 
BDSG). Dieser „als erster erwähnte“ 
Grundsatz” entspricht einem seit dem 
2. BDSG (1977) „vielfach“ beachteten 
„Verbot mit Erlaubnisvorbehalt‘“' der 
Erhebung, Verarbeitung und Nutzung 
personenbezogener Daten, „sofern nicht 
eine spezielle Erlaubnis durch Rechts- 
norm bzw. durch den Betroffenen selbst 
erteilt ist“.”” Fehlt eine gültige, über 
einfache Billigkeit (fairness) hinausge- 
hende Rechtsgrundlage (lawfulness) 
bleibt die Verarbeitung unzulässig‘*, 
und die Zulässigkeit ist „in jedem Ein- 
zelfall sorgfältig und auf jede Phase der 
Erhebung, Verarbeitung bzw. Nutzung 
zu prüfen“. Da in der EU das Recht 
auf Datenschutz Grundrechtstatus ge- 
nießt und das Schutzniveau als eines der 


weltweit höchsten gilt’ (und tendenziell 
Schule macht‘”), können Daten nur be- 
dingt in so genannte Drittländer über- 
mittelt werden, da dies sonst durch die 
weitere Verarbeitung zu Grundrechts- 
verletzungen durch unregulierte „data 
havens“S® führen könnte.” Einzelne 
Bereiche können Ausnahmen nicht er- 
warten, selbst (oder gerade) wenn das 
Volumen ihrer Datenübermittlungen als 
umfassend gilt, wie dies beiden NADOs 
der Fall zu sein scheint.‘ Das Beispiel 
des EU-Freizügigkeitsrechts zeigt üb- 
rigens eindrucksvoll, dass es auf Dau- 
er besser sein kann, sich proaktiv auf 
gesetzliche Vorgaben einzustellen: Die 
Fußballverbände wussten sehr wohl vor 
dem Bosman-Urteil des EuGH°!, dass 
die von ihnen vertretene Rechtsposition 
anfechtbar war, setzten aber lieber dar- 
auf, Bereichsausnahmen zu verlangen“, 
was sie eine Niederlage vor Gericht 
kostete. 

Nach Unionsrecht sowie nach deut- 
schem Recht kann diesem Erfordernis 
durch gesetzliche Anordnung oder Ein- 
willigung der betroffenen Person ent- 
sprochen werden. Diesem Raster folgen 
Art. 7 der DS-RL 95/46/EG sowie Art. 6 
Abs. Abs. 1 DSGVO (beide: Rechtmä- 
Bigkeit der Verarbeitung), wobei im Uni- 
onsrecht neben der Einwilligung (Art. 6 
Abs. 1 lit. a) die Fallgruppen gesetzli- 
cher Anordnung enumerativ geregelt 
sind: b) Erfüllung eines Vertrags (lit. b); 
bzw. einer gesetzlichen Verpflich- 
tung der verarbeitenden Stelle (lit. c); 
Schutz lebenswichtiger Interessen der 
betroffenen Person (lit. d); Wahrneh- 
mung einer Aufgabe im öffentlichen 
Interesse oder in Ausübung hoheitlicher 
Gewalt (lit. e); Wahrung berechtigter 
Interessen der verarbeitenden Stelle, so- 
fern dadurch keine Grundrechte der be- 
troffenen Person verletzt werden (lit. f). 
Bei einer Verarbeitung zu Anti-Doping- 
Zwecken können wohl lediglich Ein- 
willigung (lit. a) sowie ggf. öffentliches 
Interesse bzw. hoheitliche Gewalt (lit. e) 
bemüht werden. Bei lit. b) fällt auf, 
dass die WP29 bereits längst von ei- 
ner wohlwollenden Auslegung im Ar- 
beitsverhältnis Abstand nimmt (z. B. 
zentralisierte Personalverwaltung mul- 
tinationaler Konzerne zur „Erfüllung“ 
des Arbeitsvertrags ihrer Mitarbeiter): 
„Schließlich besteht kein direkter und 
objektivevr Zusammenhang zwischen 
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der Erfüllung eines Beschäftigungsver- 
trags und einer solchen Datenübermitt- 
lung“. Ein Ausnahmetatbestand liegt 
nur dann regelmäßig vor, wenn diese 
die betroffene Person begünstigt (zZ. B. 
Buchung von Hotel oder Mietwagen).‘* 
Auch bei Sportlern lässt sich diese Fra- 
ge mutatis mutandis stellen. Bei (lit. a) 
(Einwilligung) freilich sind erhebliche 
datenschutzrechtliche Bedenken zu be- 
rücksichtigen, während bei (lit. e) vor- 
erst eine entsprechende gesetzliche Re- 
gelung vorliegen muss. 

Trotz einer expliziten Erwähnung in 
EG 112 DSGVO finden die üblichen Vor- 
gaben und Beschränkungen Anwendung. 
Daten werden nicht einfach bereit ge- 
stellt (vgl. Lindquist‘), sondern gesandt. 
Übermittlungen an einen WADA-Server 
in Kanada oder an sonstige Partnerorga- 
nisationen regeln Art. 44-50 (Kapitel V) 
DSGVO, während „für die etwaige Wei- 
terübermittlung“ in ein anderes Drittland 
oder an eine andere internationale Orga- 
nisation das in der EU gewährte Schutz- 
niveau nach EG 101% DSGVO „nicht 
untergraben werden“ darf, weshalb nach 
Art. 44 die für die erste Übermittlung 
geltenden Erfordernisse (bei der die Da- 
ten erstmals die EU verlassen) weiterhin 
gelten. Die Bestimmungen der DSGVO 
gelten somit unbeschränkt. 

Sofern die Europäische Kommission 
nach Anhörung der WP29 (,„Angemes- 
senheitsbeschluss‘“) festgestellt hat, dass 
ein Drittland, ein Gebiet oder eine inter- 
nationale Organisation „ein angemesse- 
nes Schutzniveau“ bietet, können Daten 
dorthin nach Art. 45 DSGVO ohne „be- 
sondere Genehmigung“ transferiert wer- 
den. Solche Angemessenheitsbeschlüsse 
sind sehr selten” und können seit der 
Nichtigkeitsfeststellung‘® des EuGH zur 
Safe-Harbor-Regelung (einem EU-US- 
Rahmen zur Selbstzertifizierung aus dem 
Jahr 2000, an dem freilich schon viel frü- 
her Zweifel geäußert worden waren‘) 
in der Rechtsprechung Schrems”® nicht 
mehr als endgültig angesehen werden.” 
Auch der Angemessenheitsbeschluss’ 
zum kanadischen Bundesgesetz PIPE- 
DA (Personal Information Protection 
and Electronic Documents Act)”, das 
jüngst ergänzt wurde, um explizit die 
WADA in dessen Anwendungsbereich 
aufzunehmen”, kann nicht mehr als si- 
cher angesehen werden, und die von der 
WP29 Ende 2015 angekündigte Option 
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koordinierter Erzwingungsmaßnahmen 
(„coordinated enforcement actions“)” 
bleibt weiterhin relevant. Das am 
29.02.2016 ausgehandelte EU-US-Ab- 
kommen „Privacy Shield‘ bezweckt, 
dagegen Abhilfe zu verschaffen, führt 
auf US-Seite jedoch keine den in der EU 
geltenden vergleichbaren Rechtsbehelfe 
ein’’ und könnte möglicherweise mit Er- 
folg vor Gericht angefochten werden.”® 
In der Tat wurde am 16.09.2016 von der 
NGO Digital Rights Ireland (die sich 
nach dem gleichnamigen Rechtsstreit” 
bereits großer Bekanntheit erfreut) eine 
entsprechende Nichtigkeitsklage einge- 
reicht.?° Gefordert wurde die Aufhebung 
der Kommissionsentscheidung (EU) Nr. 
2016/1250 vom 12.07.2016 aufgrund 
eines vom Gericht festzustellenden er- 
heblichen Ermessensfehlers (‚‚manifest 
error of assessment by the Commissi- 
on insofar as it finds an adequate level 
of protection in the US, for personal 
data, concordant with Directive 95/46/ 
EC“). Im Schrems-Urteil bestätigte der 
EuGH nicht nur das Recht, sondern 
auch die Pflicht der Aufsichtsbehörden, 
bei entsprechenden Klagen die Recht- 
mäßigkeit von Datenübermittlungen zu 
prüfen, selbst wenn ein Angemessen- 
heitsbeschluss vorliegt.*' Darüber hin- 
aus herrschte bislang über Zuständigkeit 
und geltendes Recht (Kanada/Qu£bec) 
Unklarheit, weshalb die WP29 das in 
der Provinz gewährte Schutzniveau un- 
tersuchte®?, jedoch ohne ein eindeutiges 
Votum abgeben zu können. 

Sofern nicht gemäß Art. 45 DSGVO 
die Datenübermittlung auf der Grund- 
lage eines Angemessenheitsbeschlusses 
stattfinden kann, müssen „geeignete 
Garantien‘ nach Art. 46, „verbindliche 
interne Datenschutzvorschriften“ (bin- 
ding corporate rules) nach Art. 47 oder 
sonst „Standarddatenschutzklauseln“ 
(standard contractual clauses) nach 
Art. 28 Absatz 2 und Art. 46 Absatz 2 
lit. d) vorliegen. „Ausnahmen für be- 
stimmte Fälle“ sind in Art. 49 definiert, 
der weitgehend die in Art. 6 festgelegten 
Rechtmäfßigkeitstatbestände wiederholt: 
Einwilligung der betroffenen Person 
(Art. 49 Abs. 1 lit. a), Erfüllung eines 
Vertrags (lit. b), Interesse der betroffe- 
nen Person (lit. c), wichtige Gründe des 
öffentlichen Interesses (lit. d), Geltend- 
machung, Ausübung oder Verteidigung 
von Rechtsansprüchen (lit. e), Schutz 


lebenswichtiger Interessen der betroffe- 
nen Person oder anderer Personen (lit. f), 
Übermittlung aus einem Register, das 
gemäß dem Recht der Union oder der 
Mitgliedstaaten zur Information der Öf- 
fentlichkeit bestimmt ist (lit. g). Aus die- 
ser Auflistung kommen wohl nur die Ein- 
willigung (lit. a) bzw. die Wahrnehmung 
eines Öffentlichen Interesses” (lit. d) 
in Betracht. Auf die Einwilligung nach 
(lit. a) wird noch einzugehen sein (s. u.); 
dabei gelten besonders strenge Maß- 
stäbe zur Sicherung der Ausübung der 
Rechte der betroffenen Person. Sofern 
keine der Vorschriften in Art. 45-46 
DSGVO Anwendung finden und kei- 
ne Ausnahmetatbestände beansprucht 
werden können, darf eine Übermittlung 
nur erfolgen, solange sie einmalig und 
der Personenkreis begrenzt ist; „für die 
zwingend berechtigten Interessen“ der 
verarbeitenden Stelle als „erforderlich“ 
gilt, ohne dabei die Interessen, Rechte 
und Freiheiten der betroffenen Person 
zu verletzten; und „angemessene Garan- 
tien“ vorliegen. Die verarbeitende Stelle 
ist dann verpflichtet, die Aufsichtsbe- 
hörde sowie die betroffene Person zu 
unterrichten (Art. 49 Abs. 1 DSGVO). 


2.2. Einwilligung als Rechtsgrundlage 


Wie bereits erwähnt, findet sich unter 
den in Art. 49 Abs. 1 DSGVO genann- 
ten „Ausnahmen für bestimmte Fälle“ 
die Einwilligung der betroffenen Person 
nach Art. 49 Abs. 1 lit. a). Die Erfüllung 
dieses besonderen Tatbestands setzt frei- 
lich voraus, dass „‚die betroffene Person 
[...] in die vorgeschlagene Datenüber- 
mittlung ausdrücklich eingewilligt [hat], 
nachdem sie über die für sie bestehen- 
den möglichen Risiken derartiger Da- 
tenübermittlungen ohne Vorliegen eines 
Angemessenheitsbeschlusses und ohne 
geeignete Garantien unterrichtet wurde“ 
und unterliegt somit den geltenden Maß- 
stäben der WP29 zur Einwilligung. 

Die Rechtmäßigkeit der Übermittlung 
setzt schon die der Erhebungsphase vo- 
raus, wo bereits nach Art. 7 Abs. 1 DS- 
GVO verschärfte Erfordernisse gelten. 
Der verarbeitenden Stelle obliegt der 
Nachweis, dass eindeutig festgeleg- 
te Zwecke verfolgt werden (lit. 1-3). 
Gerade in der heutigen Zeit erfolgt die 
Notwendigkeit einer „strengen Zweck- 
bindung“ aus der zunehmend „multi- 
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funktionalen Verwendung“ von Da- 
ten.“ Die Einwilligung der betroffenen 
Person kommt dann nicht in Betracht, 
„wenn zwischen der Position der be- 
troffenen Person“ und der verarbeiten- 
den Stelle „ein erhebliches Ungleich- 
gewicht besteht“ (EG 34)®%. Dadurch 
hat der europäische Gesetzgeber einen 
über Jahrzehnte entstandenen Konsens 
kodifiziert, der auch durchgängig von 
der WP29 vertreten wurde und wird: 
„Die Richtlinie stellt die Einwilligung 
eindeutig als eine von mehreren Rechts- 
grundlagen dar.“ Die in Deutschland 
gängige, als Verfassungsnorm geltende?’ 
Doktrin®® der informationellen Selbst- 
bestimmung scheint dem „erheblichen 
Ungleichgewicht“ vergleichbar, denn 
wie bei AGBs setzt Selbstbestimmung 
Durchsetzungsvermögen voraus. Im 
Beschäftigungsverhältnis galt die Ein- 
willigung gemäß der WP29 als ungültig, 
wenn sie „vom Beschäftigten erbeten 
und [...] die Nichteinwilligung mit tat- 
sächlichen oder potenziellen Nachteilen 
für ihn verbunden“ wäre, was auch 
dem Tenor des deutschen Schrifttums 
entspricht.?' 

Entsprechend monierte die WP29 
bereits 2008 anhand eines WADA- 
Entwurfs für den Datenschutzstandard 
ISPPPI, dass die darin vorgesehene 
Zustimmung schon den Erfordernissen 
nach Art. 2 DS-RL nicht entsprechen 
könne: „Aufgrund der Sanktionen und 
Konsequenzen, die verhängt werden 
können, wenn sich ein Teilnehmer wei- 
gert, den Verpflichtungen des Codes 
(zum Beispiel der Übermittlung von 
Daten über den Aufenthaltsort und die 
Erreichbarkeit) nachzukommen, ge- 
langt die Arbeitsgruppe zu dem Schluss, 
dass die Zustimmung keineswegs ohne 
Zwang gegeben wird.‘”? 


2.3. Gesetzliche Regelung als 
Rechtsgrundlage 


Die Schaffung einer Rechtsgrundlage 
ist eine explizite, im WADC ausgedrück- 
te (obwohl rechtlich irrelevante) „Erwar- 
tung“ der WADA Stakeholder, d. h. der 
SGBs’’. Ferner (und wesentlicher) stellt 
nach Art. 49 Abs. 4 DSGVO (,„Aus- 
nahmen für bestimmte Fälle“), (lit. d) 
(„wichtige Gründen des öffentlichen 
Interesses“) die Voraussetzung einer 
Inanspruchnahme des EG 112 DSGVO 
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dar. Nur ein Gesetz kann ein Öffentli- 
ches Interesse, das auch nach deutschem 
Recht ein „qualifiziertes“”* zu sein hat, 
nachweisen: „Vage Hinweise auf öffent- 
liche Belange reichen nicht aus“, wo- 
bei der Nachweis durch die NADO zu 
erbringen ist.’° Das AntiDopG kommt 
somit sowohl der WADA als auch den 
Aufsichtsbehörden potentiell entgegen. 


2.3.1. 88 8-10 AntiDopG: 
Möglichkeiten und Grenzen 


Seit dem 01.01.2016 dient das Anti- 
Doping-Gesetz (AntiDopG) der Do- 
pingbekämpfung zum Schutz von Ge- 
sundheit, Fairness, Chancengleichheit 
und der Integrität des Sports ($ 1). Unter 
Strafe stellt es die Herstellung, den Han- 
del, den Vertrieb und die Verschreibung 
von in der Anlage I zum UNESCO- 
Übereinkommen genannten Dopingmit- 
teln bzw. -methoden ($ 2) ebenso wie das 
so genannte Selbstdoping ($ 3). Zudem 
bieten $$ 8-10 AntiDopG eine explizi- 
te Rechtsgrundlage für die Datenüber- 
mittlung auch in Drittländer — eine Er- 
neuerung, die Wedde 2011 als dringend 
eingestuft hatte.” Als Rechtsgrundlage 
entspricht es somit dem datenschutz- 
rechtlichen Bestimmtheitsgrundsatz, ob 
es per se aber auch dem Grundsatz der 
Datensparsamkeit?” entspricht, erscheint 
klärungsbedürftig. Dem Text sind keine 
direkt begrenzenden Normen zu ent- 
nehmen, so dass einem „collect-it-all- 
approach“ ä la NSA® nichts im Wege 
steht. Beim EuGH-Urteil Digital Rights 
Ireland reichte dem Gericht die Abwe- 
senheit einer solchen Begrenzung, um 
einen Grundrechtseingriff „von großem 
Ausmaß und von besonderer Schwere“ 
festzustellen” und die Richtlinie zur 
Vorratsspeicherung (RL 2006/24/EG)! 
für ungültig zu erklären. 

Gerichte und Staatsanwaltschaften 
können auf Grundlage des AntiDopG der 
NADA „personenbezogene Daten aus 
Strafverfahren von Amts wegen übermit- 
teln, soweit dies aus Sicht der übermit- 
telnden Stelle für disziplinarrechtliche 
Maßnahmen im Rahmen des Doping- 
kontrollsystems der [NADA] erforder- 
lich ist und ein schutzwürdiges Interesse 
der von der Übermittlung betroffenen 
Person nicht entgegensteht“ ($ 8); und 
die NADA ihrerseits darf Daten „erhe- 
ben“, „verarbeiten“ und „nutzen, soweit 


dies zur Durchführung ihres Doping- 
kontrollsystems erforderlich ist“ ($ 9), 
einschließlich Gesundheitsdaten, bei de- 
nen jedoch Einschränkungen gelten ($ 10 
Abs. 1). „Ergebnisse von Dopingproben 
und Disziplinarverfahren im Rahmen 
des Dopingkontrollsystems sowie eine 
erteilte medizinische Ausnahmegeneh- 
migung‘“ darf die NADA einer anderen 
NADO, einem internationalen Sport- 
fachverband, einem internationalen Ver- 
anstalter oder der WADA „übermitteln, 
soweit dieser oder diese für die Doping- 
bekämpfung nach dem Dopingkontroll- 
system der [NADA] und der [WADA] 
zuständig ist und die Übermittlung zur 
Durchführung dieses Dopingkontrollsys- 
tems erforderlich ist“ ($ 10 Abs. 2). 

Als gesetzliche Regelung i. S. v. Art. 42 
Abs. 2 DSGVO stellt die durch $$ 8-10 
AntiDopG bereitgestellte Regelung in- 
ternationaler Datenübermittlungen durch 
die NADA auf eine scheinbar solide, 
wenn auch grundsätzlich anfechtbare 
Grundlage, sofern bis dahin die Bear- 
beitung rechtmäßig erfolgt war. Gemäß 
Art. 42 Abs. 2 DSGVO ist eine Einzel- 
fallprüfung durch die Aufsichtsbehörden 
dann nicht erforderlich, was angesichts 
des vermutlich enormen Volumens der 
Datenströme!" zu einer erheblichen 
Entlastung der Behörden führen dürfte. 
Dem Fallstrick eines „erheblichen Un- 
gleichgewichts“ zwischen betroffener 
Person und verarbeitender Stelle (EG 
34), der ansonsten objektiv auf das Anti- 
Doping-Arbeit Anwendung finden müss- 
te, kann aufgrund der Anerkennung der 
Wahrung eines wichtigen Öffentlichen 
Interesses nach Art. 44 Abs. 1 Lit. d) DS- 
GVO entkommen werden. Ob dann die 
Athlete Consent Forms aus den Sport- 
anlagen verschwinden werden, bleibt 
freilich abzuwarten. Ungeklärt bleibt die 
Frage der weiteren Datenübermittlung 
von Kanada aus (onward transfers): Da 
Deutschland Kanada im Hinblick auf das 
dortige Schutzniveau vertraut, dürfen 
Daten nicht ohne weiteres von Kanada 
aus weiter übermittelt werden. Jedoch 
scheint ADAMS gerade für weltweiten 
Datenaustausch konzipiert zu sein, die 
WADA versteht sich selbst ausdrücklich 
als central clearinghouse'”, also quasi 
als Schaltstelle. Ebenso wie die kartell- 
rechtliche Zulässigkeit von Anti-Doping- 
Regelungen davon abhängen, dass „sie 
auf das zum ordnungsgemäßen Funktio- 
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nieren des sportlichen Wettkampfs Not- 
wendige begrenzt sind“'®, muss auch 
die Anti-Doping-Datenverarbeitung 
weiterhin den Maßstäben der Notwen- 
digkeit und der Verhältnismäßigkeit 
genügen, genauso wie das neue Euro- 
paratsabkommen zur Spielmanipulati- 
on explizite Grundrechts- und Daten- 
schutzvorbehalte beinhaltet.!%* 

Die Frage nach der Rechtsgrundlage 
der Datenübermittlung an (vermutlich 
deutsche?) Strafverfolgungsbehörden 
wurde vom Bundesrat!” im Rahmen ei- 
ner Frage des Bundestags zum Gesetz- 
entwurfan die Bundesregierung gestellt. 
Der Bundesrat begrüßte ausdrücklich 
die im Referentenentwurf vorgesehe- 
ne gesetzliche Regelung, monierte je- 
doch, dass in $ 8 AntiDopG-E nur die 
Übermittlung _Strafverfolgungsbehör- 
den > NADA, nicht aber umgekehrt 
NADA + Strafverfolgungsbehörden, 
geregelt sei. „Angesichts der in $ 10 
Absatz 2 AntiDopG-E ausdrücklich 
benannten möglichen Empfänger der 
gesundheitsbezogenen Daten - die 
Strafverfolgungsbehörden sind hier 
nicht aufgeführt — dürfte nach dem Ge- 
setzesentwurf die Datenübermittlung an 
die Strafverfolgungsbehörden rechtlich 
fragwürdig sein.“!% Die Bundesregie- 
rung indes fand in ihrer Antwort an den 
Bundestag die von ihr vorgeschlagene 
Regelung mehr als ausreichend.!” „Die 
Bundesregierung hat die vom Bundesrat 
erbetene Prüfung vorgenommen. Eine 
gesetzliche Regelung zur Datenüber- 
mittlung von der [NADA] an die Straf- 
verfolgungsbehörden ist aus der Sicht 
der Bundesregierung nicht angezeigt. 
Mit der Übermittlungsvorschrift des $ 8 
AntiDopG wird das Anliegen verfolgt, 
die Arbeit der NADA zu unterstützen. 
Eine spezielle gesetzliche Regelung für 
die Datenübermittlung von der NADA 
an die Strafverfolgungsbehörden ist 
nicht erforderlich. Im Übrigen wird auf 
Nummer 257a der Richtlinien für das 
Strafverfahren und das Bußgeldverfah- 
ren hingewiesen. Hiernach kann es für 
Gerichte und Staatsanwaltschaften im 
Ermittlungsverfahren, die Dopingstraf- 
taten zum Gegenstand haben und ei- 
nen Bezug zu Leistungssportlern bzw. 
deren Ärzten, Trainern, Betreuern oder 
Funktionären aufweisen, zweckmäßig 
sein, mit der NADA in Verbindung zu 
treten, die gegebenenfalls sachdienliche 
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Auskünfte erteilen kann. Darüber hinaus 
enthält Art. 14.2 des Nationalen Anti- 
Doping Codes von 2015 bereits eine 
Verpflichtung der NADA zur umfassen- 
den Zusammenarbeit mit den staatlichen 
Ermittlungsbehörden.“'® Der Verweis 
auf Sachdienlichkeit erscheint daten- 
schutzrechtlich wenig hilfreich. 

Der Bundesregierung ist wohl ein- 
zuräumen, dass auf nationaler Ebene 
Datenübermittlungen von bzw. an die 
Strafverfolgungsbehörden auf jeden 
Fall rechtlich abgesichert werden kön- 
nen. Wenn aber Datenübermittlungen 
ins (insbesondere nichteuropäische) 
Ausland stattfinden, und die Empfän- 
ger keine Strafverfolgungsbehörden 
sind, ist dem Bundestag zuzustimmen, 
dass der Wortlaut im Hinblick auf die- 
se Datenübermittlung keine spezifi- 
sche Regelung bietet. Der Hinweis der 
Bundesregierung auf „die besonderen 
Schutzvorschriften der $$ 4b und 4c 
BDSG“!® müsste eigentlich zur Un- 
terbindung solcher Transfers führen 
können. Dass dies auch dazu führen 
könnte, dass die NADA den Erwartun- 
gen von WADA und Stakeholders nicht 
immer wird entsprechen können, gab 
die Bundesregierung zu: „Die NADA 
wird ihre Möglichkeiten nutzen, damit 
dem Schutz von Gesundheitsdaten bei 
der Übermittlung an Verbände und Ver- 
anstalter mit Sitz im Ausland Rechnung 
getragen wird, ohne dass dabei die Vor- 
gaben des WADC verletzt werden. Dies 
kann z. B. dadurch erfolgen, dass die 
NADA besonders sensible Kategorien 
von Gesundheitsdaten nicht im automa- 
tisierten Datenverarbeitungssystem der 
WADA speichert, sondern lediglich auf 
der Basis bilateraler Vereinbarungen mit 
dem jeweiligen Verband oder Veranstal- 
ter mit Sitz im Ausland an diese über- 
mittelt.“!10 


2.3.2. 88 8-10 AntiDopG: Kritik der 
Datenschutzbeauftragten der Län- 
der Rheinland-Pfalz und Schleswig- 
Holstein 


In der Tat hatten die LfD RP u. SH 
zum damaligen Referentenentwurf eine 
Stellungnahme abgegeben, in der $ 8 
einer harten Kritik unterzogen wurde.'!" 
Moniert wurde u. a., dass dem NADA- 
Dopingkontrollsystem durch dynamische 
Verweisung auf „disziplinarrechtliche 


Maßnahmen“ ein „normativer Charakter 
verliehen“ und dadurch „eine hochsen- 
sible Datenübermittlung aus dem sankti- 
onierenden hoheitlichen und den privaten 
Bereich“ erlaubt werde, ohne dass aus- 
reichende „verfahrensrechtliche Siche- 
rungen“ im Entwurf vorliegen würden. !' 
Die Regelung zur Übermittlung durch 
Gerichte und Staatsanwaltschaften an die 
NADA sei im Hinblick auf das damit ver- 
folgte schutzwürdige Interesse nicht hin- 
reichend konkretisiert. Betroffene Athle- 
ten seien über solche Verfahren zu infor- 
mieren, denn „Geheimverfahren“ seien 
„inakzeptabel“'®, was wahrscheinlich 
viele Insider der Anti-Doping-Communi- 
ty überraschen würde. Im WADA-Regel- 
werk zielen mehrere Bestimmungen des 
WADC!*bzw. des ISTT' auf „Ermittlun- 
gen“ (investigations) bzw. auf „Nachrich- 
ten“ (intelligence) ab. Verschwiegenheit 
wird dabei kategorisch vorausgesetzt.''‘ 
Dem Umstand solcher Erwartungen 
kann Rechnung getragen werden, z. B. 
indem eine NADO (wie die dänische 
NADO, Anti Doping Danmark) als 
öffentlich-rechtliche Einrichtung (sel- 
vejende Institution) im Amtsbereich des 
(sportpolitisch zuständigen) Kulturmi- 
nisteriums definiert!'’, oder indem (wie 
bei der britischen NADO) die durch die 
NADO betriebene Datenübermittlung 
durch eine vom Innenminister (Home Se- 
cretary) erlassene Verordnung (Statutory 
Instrument) explizit dem Datenaustausch 
der Strafverfolgungsbehörde SOCA (Se- 
rious Organised Crime Agency)''* gemäß 
den Bestimmungen des nationalen Daten- 
schutzrechts gleichgestellt wird, solange 
die Arbeit der britischen NADO (United 
Kingdom Anti-Doping Limited, UKAD) 
vom Innenminister als „im öffentlichen 
Interesse“ erachtet wird.'!” Dabei betonen 
die L[DRPu. SH in ihrer Stellungnahme, 
dass die NADA „keine ‚quasi-staatliche‘ 
Stelle [ist], der hoch sensible Informa- 
tionen aus laufenden Ermittlungs- und 
Strafverfahren ungefiltertt anvertraut 
werden dürften“ und ziehen deshalb das 
aus Anti-Doping-Sicht sicherlich uner- 
freuliche Fazit: „Eine Weitergabe von 
personenbezogenen Informationen an 
die außerstaatliche Stelle NADA vor ei- 
ner vollständigen Information und Stel- 
lungnahmemöglichkeit des betroffenen 
Athleten erscheint ausgeschlossen.“'!?° 
Moniert wird ferner, dass für den Infor- 
mationstransfer von der NADA an die 
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Strafverfolgungsbehörden keine geson- 
derte Regelung vorgesehen war (und ist). 
„Dies ist deshalb verwunderlich, da ein 
Interesse etwa der Staatsanwaltschaft an 
Angaben aus dem ADAMS-Meldesystem 
(„sog. Whereabouts“) offensichtlich ist“, 
weshalb der Gesetzgeber gefordert sei, 
eine eingehendere Regelung im Hinblick 
auf „Übermittlungs-, Beschlagnahme- 
oder Beweisverwertungsverbote oder 
-einschränkungen“ zu treffen. '?! 

Im Hinblick auf die für die vorliegen- 
de Untersuchung wichtige Übermittlung 
ins nichteuropäische Ausland verlangen 
LfD RP u. SH klare gesetzliche Vorgaben 
zu den Verwendungszwecken der von 
staatlichen Stellen an die NADA übermit- 
telten Daten!” im Hinblick auf die Wei- 
tervermittlung der Daten „an inner- und 
außereuropäische Empfänger (Verbände, 
Wettkampfveranstalter, Presse)“.'” Dass 
das AntiDopG dem Entwurf nach expli- 
zit darauf abzielt, die Weitervermittlung 
der Daten an SGBs, WADA und Veran- 
stalter zu ermöglichen, rechtfertigt nach 
Meinung der Autoren der Stellungnahme 
keine Ausnahmeregelung, da die Daten 
besonders sensibel seien und die Über- 
mittlung „von keinerlei Erforderlichkeits- 
prüfung abhängig gemacht wird. Allein 
die verbandliche ‚Zuständigkeit‘ des 
Datenempfängers soll als Legitimation 
für Datenweitergaben sogar ins außer- 
europäische Ausland ausreichen. Dies 
würde einen massiven Bruch mit Da- 
tenschutzgrundsätzen (vgl. $$ 4b und 4c 
BDSG) darstellen.‘“'?* Dass der deutsche 
Bundesgesetzgeber durch das AntiDopG 
versucht hat, den (nicht rechtlich verbind- 
lichen) internationalen sportpolitischen 
Verpflichtungen der NADA Rechnung 
zu tragen, davon bleiben die Autoren der 
Stellungnahme unbeeindruckt: „Bleiben 
Zweifel, so ist die Datenweitergabe zu 
unterlassen. Dies gilt auch dann, wenn 
sportinterne Regelungen wie der WADA 
Code anderes vorsehen. Das nationale 
Recht muss sich gegen internationale 
Absprachen zwischen Sportverbänden 
behaupten und durchsetzen.“'!® 


2.3.3. Erwägungsgrund 112 (EG 
112) DSGVO: Möglichkeiten und 
Grenzen 


Die WADA'* und einige SGBs'?” 


hatten schon früh erkannt, dass die bis- 
weilen als gold standard apostrophier- 
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te!?® DSGVO die Anti-Doping-Arbeit 
behindern könnte und versuchten daher 
bald, den EU-Gesetzgebungsprozess 
zugunsten von Bereichsausnahmen zu 
beeinflussen.'”” Vor diesem Hintergrund 
ist wohl der Wortlaut von EG 112 DS- 
GVO zu verstehen, die Ausnahmen 
„insbesondere“ für Datenübermittlungen 
zulässt, „die aus wichtigen Gründen des 
öffentlichen Interesses erforderlich sind, 
beispielsweise für den internationalen 
Datenaustausch zwischen Wettbewerbs-, 
Steuer- oder Zollbehörden, [...] und/oder 
Beseitigung des Dopings im Sport.“ Dass 
Dopingbekämpfung ungeachtet ihrer 
nationalen Rechtsgrundlage (d.h., auch 
wenn kein nationales Strafrecht Anwen- 
dung findet und die NADO keine Behör- 
de ist) hier neben staatlichen Behörden, 
die staatliche Kernaufgaben wahrnehmen 
(Finanzen, Seuchenschutz, etc.), erwähnt 
wird, darf durchaus als Etappensieg von 
WADA und SGBs angesehen werden, 
bedarf jedoch einer näheren rechtlichen 
Überprüfung. EG 112 DSGVO lässt Aus- 
nahmen zwar zu, welche durch nationale 
Aufsichtsbehörden zu erteilen sind, ga- 
rantiert diese jedoch nicht (vgl. EG 111 
und Art. 44). Vielmehr muss eine Rechts- 
güterabwägung vorgenommen werden, 
die in der DSGVO explizit vorgesehen 
ist: „Das Recht auf Schutz der perso- 
nenbezogenen Daten ist kein uneinge- 
schränktes Recht; es muss im Hinblick 
auf seine gesellschaftliche Funktion ge- 
sehen und unter Wahrung des Verhältnis- 
mäßigkeitsprinzips gegen andere Grund- 
rechte abgewogen werden“ (DSGVO, 
EG 4)", insbesondere gegen die Infor- 
mationsfreiheit.'?' Die jüngste EuGH- 
Rechtsprechung hat die Rechte der von 
der Verarbeitung betroffenen Personen 
gestärkt!” und die nationalen Aufsichts- 
behörden nicht nur gefördert, sondern 
auch gefordert: Klagen sind aufzuneh- 
men und bei entsprechender Rechtslage 
sind Schritte gegen die verarbeitenden 
Stellen zu nehmen.'”® Das Grundrecht 
auf rechtliches Gehör (Art. 47 EU- 
Grundrechtscharta) bedeutet, dass jedem 
Grundrecht ein wirksamer Rechtsbehelf 
gegenüberstehen muss, weshalb das eng- 
lische High Court im Urteil Vidall-Hall 
die bisherige Rechtsprechung verwarf, 
die bei Verletzungen des Rechts auf Da- 
tenschutz bislang einen Rechtsbehelf nur 
bei nachgewiesenem monetärem Scha- 
den aufgrund einer rechtswidrigen Hand- 


lung (fort) zugelassen hatte.'* Anders als 
bei der Rechtsgüterabwägung zwischen 
Datenschutz und Informationsfreiheit 
freilich steht dem Datenschutz hier kein 
konkurrierendes Grundrecht entgegen. 
Das von der WADA postulierte „funda- 
mental right to participate in doping-free 
sport‘ ist ein reines WADA-Postulat. 

Bei der Rechtsgüterabwägung zwi- 
schen Datenschutz und Informationsfrei- 
heit kann ferner kaum größeres Entge- 
genkommen erwartet werden als z. B. bei 
der Überwachung elektronischer Kom- 
munikation zu nachrichtendienstlichen 
und nationalen Sicherheitszwecken. Dort 
wollte jüngst die WP29 selbst bei explizi- 
ten vertraglichen oder auch gesetzlichen 
Regelungen eine Beeinträchtigung des 
Schutzniveaus nicht hinnehmen." Als 
Ergebnis des Schrems-Urteils verkün- 
dete sodann die WP29 aufgrund einer 
umfassenden Analyse der Rechtspre- 
chung von EuGH sowie EGMR „four 
European Essential Guarantees“, die bei 
der Datenübermittlung in Drittländer zu 
beachten seien (präzise Bestimmungen; 
Nachweispflicht des legitimen Ziels, der 
Notwendigkeit und der Verhältnismä- 
Bigkeit; unabhängige Aufsicht; effektive 
Rechtsbehelfe)'®’ und erteilte dem übli- 
chen Pragmatismus ein deutliche Absa- 
ge: „The Guarantees are based on what 
is required by the law and not necessa- 
rily on what is the current practice in the 
EU Member States“.'® EG 112 DSGVO 
soll in diesem Rahmen nicht weiter un- 
tersucht werden, stellt jedoch ein ganz 
eigenes Thema dar.'” 


2.3.4. Datenübermittlungen durch 
andere Organisationen bzw. Behör- 
den als die NADA Deutschland 


In dieser Untersuchung wurde die Fra- 
ge der Rechtsgrundlage bei der Übermitt- 
lung anderer in Deutschland tätigen Or- 
ganisationen als die NADA Deutschland 
bewusst ausgeklammert. Anti-Doping- 
Aktivitäten werden weiterhin nicht nur 
durch NADOs, sondern ebenfalls durch 
internationale Verbände'* und Wettbe- 
werbsveranstalter durchgeführt, die ggf. 
im Rahmen von Outsourcing private Fir- 
men beauftragen können. Anders als die 
NADOs mancher anderer EU-Staaten ist 
die NADA Deutschland keine öffentliche 
Behörde, sondern eine privatrechtliche 
Stiftung, weshalb die datenschutzrecht- 
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liche Anerkennung ihrer Aufgaben durch 
das AntiDopG von großer Bedeutung 
ist. Bei den Anti-Doping-Aktivitäten 
anderer Organisationen ist davon auszu- 
gehen, dass die fragwürdige Athleten- 
einwilligung weiterhin als Rechtsgrund- 
lage verwendet wird. Sofern die NADA 
Deutschland mit Organisationen im In- 
und Ausland Daten austauscht, kann sie 
durch rechtlich verbindliche Abkommen 
ihre Partner zur Einhaltung datenschutz- 
rechtlicher Grundsätze verpflichten, z. B. 
ist ein zwischen der NADA und ihrer 
britischen Schwesterorganisation UK 
Anti Doping (UKAD) unterzeichnetes 
Datenaustausch-Abkommen!*! bekannt. 
Andere Organisationen können ebenfalls 
vertraglich das Risiko auf rechtswidrige 
Verarbeitung reduzieren. 

Ebenfalls ausgeklammert wurde die 
Datenübermittlung durch Strafverfol- 
gungsbehörden (Polizei, Zoll, Staatsan- 
waltschaft, etc.), für die eigenständige 
Regelwerke gelten — die EU-weiten 
Vorgaben der RL (EU) 2016/680'!* 
über Strafverfolgungsbehörden allge- 
mein sowie insbesondere der RL (EU) 
2016/681'® zur Verwendung von Flug- 
gastdatensätzen (PNR-Daten) sind durch 
nationale Vorschriften umzusetzen und 
ggf. zu konkretisieren, welche vergli- 
chen mit dem Datenaustausch durch pri- 
vatrechtliche Organisationen für einen 
reibungslosen Ablauf wahrscheinlich 
vorteilhafter sind. Doch auch Strafverfol- 
gungsbehörden werden durch Aufsichts- 
behörden des Datenschutzes vermehrt in 
die Pflicht genommen, was das Beispiel 
des EuGH-Urteils zur Vorratsspeiche- 
rung!“ ebenso wie das Urteil des Bundes- 
verfassungsgerichts zum BKA-Gesetz!* 
verdeutlichen. Selbst beim hochsensiblen 
Schengener Informationssystem (SIS ID) 
muss sichergestellt werden, dass die be- 
troffenen Personen ihre Rechte ausüben 
können." Auf jeden Fall kann jedoch — 
sehr vorteilhaft — bei Strafverfolgungsbe- 
hörden die Frage des öffentlichen Inter- 
esses unzweifelhaft bejaht werden. 


3. Fazit 


3.1. Datenschutzrechtliches und 
rechtspolitisches Fazit 


Diese Untersuchung hat gezeigt, dass 


das AntiDopG ein Gesetz zur rechten 
Zeit war, da erst durch dessen $$ 8-10 
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eine explizite (wenn auch nicht zwangs- 
läufig einwandfreie) Rechtsgrundlage 
der Datenübermittlungen ins nichteu- 
ropäische Ausland geschaffen wurde. 
Der von WADA und EOC erwirkte EG 
112 DSGVO bietet nur teilweise Ab- 
hilfe, da zuvor die Erhebung der Daten 
rechtmäßig gewesen sein muss und nur 
dann, wenn ein Gesetz vorliegt. Weder 
die Übereinkommen von Europarat und 
UNESCO, noch Art. 165 AEUV ändern 
hieran etwas. Die Vorteile einer gesetz- 
lichen Regelung sind offenkundig, denn 
die traditionsreichen Arrangements auf- 
grund einer stets angreifbaren Athleten- 
einwilligung bleiben wackelig. Ob dafür 
die Nachhaltigkeit des AntiDopG als 
gegeben angesehen werden kann, kann 
freilich derzeit nicht bestätigt werden. 
Ob das AntiDopG den strafrechtlichen 
bzw. rechtspolitischen Grundsätzen von 
Notwendigkeit und Verhältnismäßigkeit 
entspricht, wurde im Rahmen einer An- 
hörung von Rechtslehren durch einige 
Teilnehmer bezweifelt, noch bevor die 
Vorlage vom Bundestag verhandelt wur- 
de!*. Gerade die datenschutzrechtlichen 
Aspekte wurden zwei Monate vor der 
Verabschiedung durch den Bundestag 
unisono von einem Verfassungsrichter 
a. D., Udo Steiner, und durch Stefan 
Brink vom LfD Rheinland-Pfalz (RP) 
bemängelt („keine klaren Vorgaben“) '*. 
Wiederholt wurden diese Bedenken von 
Lehner”, der auch weitere verfassungs- 
rechtliche Probleme (Schiedszwang, 
Doppelbestrafung) identifizierte, und 
im März 2016 zeichnete sich die Mög- 
lichkeit einer Verfassungsklage ab.'” In 
einem offenen Brief an DOSB-Präsident 
Alfons Hörmann vom 23.02.2015 be- 
zeichneten Sylvia Schenk (Rechtsanwäl- 
tin, ehemalige Radfahrerpräsidentin und 
Sportexpertin von Transparency Inter- 
national) und Stefan Brink (LfD RP) das 
Anti-Doping-Gesetz als „grandioses Ab- 
lenkungsmanöver“. Die anschließende 
Kritik fiel gerade bei datenschutzrecht- 
lichen Aspekten des AntiDopG vernich- 
tend aus. Angeprangert wurden potenti- 
elle Interessenskonflikte in den NADA- 
und NADA nahen Entscheidungsgremi- 
en („Das positive Beispiel an der Spit- 
ze“), u. a. da das Bundesministerium des 
Inneren (BMI) gleichzeitig für eine am 
olympischen Medaillenspiegel orien- 
tierte Sportförderung des Bundes sowie 
für die deutsche Anti-Doping-Politik 


zuständig ist („Das BMI hat ein Rechts- 
staatsproblem‘““). Grundsätzlich in Frage 
gestellt wurde der aktuelle (von WADA, 
IOC und SGBs befürwortete) Zugang zu 
Anti-Doping, der durch eine Abwesen- 
heit von Verhältnismäßigkeit gekenn- 
zeichnet sei: „Der DOSB darf aber nicht 
schweigen, er muss Fürsprecher sein. 
Gerade wenn es darum geht, die Belas- 
tungen des Anti-Doping-Systems grund- 
rechts- und athletenfreundlich abzumil- 
dern. Gemeinsam mit der NADA könnte 
er nach datenschutzfreundlichen Alter- 
nativen im Anti-Doping-Kampf suchen. 
Ist es wirklich zwingend notwendig, 
dass Spitzensportler im Vorhinein de- 
taillierte Angaben über Aufenthaltsorte, 
Erreichbarkeit und Medikation auf ei- 
nem Server in Kanada hinterlegen müs- 
sen, dessen Sicherheit und Zugriffsbe- 
rechtigungen nicht kontrolliert werden 
können? Lassen sich stattdessen nicht 
weniger eingriffsintensive Verfahren 
wie eine freiwillige Ortung des Smart- 
phones im Kontrollfall entwickeln? Und 
kann man nicht vollständig auf pauscha- 
le Datenübermittlungen insbesondere 
von sensiblen Gesundheitsdaten ins 
außereuropäische Ausland verzichten?“ 
Kritisiert wurden ferner die Abwesen- 
heit eines deutschen Datenservers (alle 
Daten werden in Kanada gespeichert), 
einer NADA-Beschwerdestelle für Ath- 
leten, einer Positivliste unbedenklicher 
Nahrungsergänzungsmittel (wobei eini- 
ge Olympiastützpunkte durch Werbung 
für ggf. von der NADA nicht empfohle- 
ne Nahrungsergänzungsmittel finanziert 
würden) ebenso wie Alternativen zur 
Sichtkontrolle bei der Urinabgabe.'>! 
Zuvor hatten die LfD RP und SH, wie 
bereits dargestellt, beim Referentenent- 
wurf erhebliche Mängel festgestellt. Er 
sei „insoweit zu begrüßen, als er den 
Schutz informationeller Selbstbestim- 
mung als Regelungsmaterie ausdrück- 
lich benennt und erste Regelungsvor- 
schläge macht. Allerdings bestehen 
erhebliche Zweifel daran, dass der 
Entwurf mit Blick auf das informatio- 
nelle Selbstbestimmungsgrundrecht der 
Sportlerinnen und Sportler den verfas- 
sungsrechtlichen Anforderungen des 
Wesentlichkeitsgrundsatzes und der 
Normbestimmtheit sowie den bestehen- 
den staatlichen Schutzpflichten zuguns- 
ten der Athleten gerecht wird. Hier sind 
substanzielle Ergänzungen und Konkre- 
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tisierung schon auf gesetzlicher Ebene 
geboten.“!® Ähnlich hatte es der sehr 
sportkundige Verfassungsrichter a. D. 
Udo Steiner gesehen.'* 

Die gesetzliche Regelung bleibt die 
mit Abstand beste Lösung, sofern das 
betreffende Gesetz aufrechtzuerhalten 
ist. Dass das AntiDopG möglicherwei- 
se gar nicht so sehr geschaffen worden 
ist, um datenschutzrechtliche Lücken 
zu schließen, sondern vielmehr als flan- 
kierende Maßnahme einer (mittlerweile 
zurückgezogenen) deutschen Olympia- 
bewerbung entstanden sein könnte!*, 
ändert an diesem Befund nichts. Eine 
Übermittlung aufgrund Einwilligung 
kann stets angefochten werden, und dass 
am 07.06.2016 der BGH im Fall Pech- 
stein die Wirksamkeit von Schiedsver- 
einbarungen bestätigt hat, da eine kar- 
tellrechtlich begründete Unwirksamkeit 
nach Art. 102 AEUV nicht festgestellt 
werden könne! und der „unfreiwillige 
Verzicht auf die Grundrechtsausübung“ 
weder durch „physische oder psychi- 
sche Gewalt, z. B. durch Drohung mit 
einem empfindlichen Übel“ erwirkt 
worden sei!®*, lässt im Übrigen keinen 
analogen Schluss über Anti-Doping- 
Datenverarbeitungs-Vereinbarungen zu, 
da im Datenschutz besondere, etablierte 
Maßstäbe zur Beurteilung einer freien 
und informierten Zustimmung bestehen. 
Die anscheinend kartellrechtlich unpro- 
blematische, vom BGH selbst als fremd- 
bestimmt eingestufte'”” Einwilligung 
würde einer datenschutzrechtlichen Prü- 
fung wohl nicht standhalten. 

Der datenschutzrechtliche Rechtmä- 
Bigkeitsvorbehalt, die Grundsätze von 
Notwendigkeit und Verhältnismäßig- 
keit sowie der Status dieser Normen 
als Grundrechte sind für den europä- 
ischen Datenschutzbegriff, anders als 
in den USA, Australien oder China’°®, 
geradezu konstitutiv. Das europäische 
Modell mag anderen altmodisch bis pa- 
ternalistisch erscheinen'®”, verhandelbar 
ist es aber nicht. Akteure in Sport und 
Anti-Doping mögen zwar den Eindruck 
haben, als sei der US-Ansatz verbrei- 
teter, dabei verkennen sie jedoch, dass 
im Jahr 2012 weltweit mehr Länder 
bei der Verabschiedung neuer Gesetze 
dem europäischen als dem US-Ansatz 
gefolgt waren,' wobei die USA und 
China (nach Greenleaf: significant out- 
liers) eher isoliert sind.'°' Vor diesem 
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Hintergrund ist es nachvollziehbar, dass 
die EU im Rahmen der Revision des 
WADC 2009 besonders auf Einhaltung 
ihrer Datenschutznormen beharrte'%, 
die durch den Übergang von der DS-RL 
zur DSGVO merkbar gestärkt werden. 
Dass die effektive Umsetzung dieser 
Normen (enforcement) weiterhin Pro- 
bleme bereiten kann'® und die erstreb- 
te extraterritoriale Wirkung'*, egal ob 
rechtsdogmatisch vertretbar'°, de facto 
davon abhängt, ändert an den grundsätz- 
lichen Rechtspositionen nichts. Es geht 
um digitale Souveränität.!% Ob dabei 
NADOs den Nachweis der Notwendig- 
keit und Verhältnismäßigkeit werden er- 
bringen können, hängt von der Fähigkeit 
des gesamten Anti-Doping-Systems, 
den Umfang des Phänomens Doping 
und die Effekte der Bekämpfung nach- 
zuweisen, ganz entscheidend ab.!°” Em- 
pirisch-sportwissenschaftliche Beiträge 
dürften auch rechtlich relevant sein. 
Wenn z. B. der Anti-Doping-Kampf auf 
einer impliziten „Abschreckungstheo- 
rie“ (deterrence theory) baut!®, bedarf 
es empirischer Evidenz der gemach- 
ten Fortschritte, um die Notwendigkeit 
und Verhältnismäßigkeit der ergriffe- 
nen Maßnahmen rechtlich würdigen zu 
können. Bei der Annahme, durch diese 
Maßnahmen ein unterstellt exzessives 
Verhalten kontrollieren zu können, wird 
vielleicht übersehen, dass Spitzensport 
an sich ein exzessives Handlungssystem 
darstellt.'® 


3.2. Sportrechtliches und sportpoli- 
tisches Fazit 


Datenschutzrechtlich liegt an sich we- 
nig Neues vor, es sei denn die Einsicht, 
dass auch im Sport umfassende Daten- 
verarbeitungsvorgänge die Aufmerk- 
samkeit der Aufsichtsbehörden verlan- 
gen und dass die betroffenen Personen 
(auch) hier (sei es aus Unwissen, aus 
Angst vor Repressalien oder aufgrund 
freier, informierter Zustimmung) wenig 
unternehmen, um ihr Grundrecht auf 
Datenschutz geltend zu machen. Sport- 
rechtlich und sportpolitisch dagegen 
zeigt die Untersuchung ein neues Bei- 
spiel von Konfliktpotential zwischen 
staatlichem Recht und lex sportiva. 
Von Aufsichtsbehörden ist wenig Fle- 
xibilität zu erwarten, zumal diese sich 
im Rahmen der WP29 zu einer strikten 


Auslegung der für die Übermittlung in 
Drittstaaten geltenden Beschränkungen 
verpflichtet haben.!”” Dass der Anti- 
Doping-Kampf bereits vielfach Begren- 
zungen der Freiheitsrechte von Athleten 
beinhaltet!”', muss Aufsichtsbehörden 
des Datenschutzes nicht zwangsläufig 
überzeugen. 

Die Auslegung dieser Vorschriften 
wird auch nicht zuletzt von der all- 
gemeinen sportpolitischen und spor- 
trechtlichen Entwicklung abhängen 
und insbesondere von der Bereitschaft 
staatlicher Gerichte, Normen der lex 
sportiva als Schranken der staatlichen 
Normen anzuerkennen. Unionsrechtlich 
betrachtet, stellen die hier untersuchten 
Probleme einen geradezu klassischen 
Fall der „indirekten Sportpolitik““'” der 
EU dar: Wie das Freizügigkeitsrecht 
im Bosman-Urteil'” greifen auch hier 
sportfremde EU-Normen in das sport- 
liche, sportrechtliche und sportpoliti- 
sche Geschehen ein. Das (aus hiesiger 
Sicht nicht nachvollziehbare) Entgegen- 
kommen des BGH im Pechstein-Urteil 
durch die Feststellung, SGBs und Ath- 
leten würden sich bei der Bekämpfung 
des Dopings grundsätzlich nicht als von 
gegensätzlichen Interessen geleitete 
„Lager“ gegenüber stehen'’*, wäre ein 
solches Beispiel, muss aber dafür nicht 
Schule machen. Besorgniserregend 
erscheint jedoch bisweilen die locke- 
re Einstellung von WADA und SGBs 
zum Rechtmäßigkeitsvorbehalt des Da- 
tenschutzrechts. Im Vorfeld der XXI. 
Olympischen Winterspiele in Sotschi 
(2014) wurde z. B. bekannt, dass das 
IOC von allen teilnehmenden Nationen 
die Anwendung der ADAMS-Daten- 
bank erwartete!”’, obwohl sich dies für 
Teilnehmer aus der EU als potentiell 
rechtswidrig erwies. Während das Euro- 
päische Parlament!” sich über die Rolle 
russischer Geheimdienste in Sotschi be- 
sorgt zeigte, erkannte auch die WADA 
selbst (18 Monate vor Sotschi), dass 
das IOC-Reglement für Teilnehmer aus 
der EU durchaus zu Datenschutzrechts- 
verletzungen führen könnte, zeigte sich 
darüber aber nicht weiter besorgt.'” 
Also fragte eine internationale Sportler- 
gewerkschaft, ob die WADA-Führung 
wissentlich zum Gesetzesbruch aufge- 
fordert habe.!”® Das Beispiel verdeut- 
licht, dass der Sport einer kritischen, 
informierten Diskussion zum Privat- 
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lebens- und Datenschutz bedarf. Dass 
dies zwei verschiedene Problemkreise 
sind'”, wird zu oft übersehen. Beauf- 
sichtigtes Urinieren mag eine Privatle- 
bensverletzung sein, stellt an sich aber 
keine Datenschutzverletzung dar. Wer 
aber das Anti-Doping-System kritisch 
kommentiert, hat einen schweren Stand, 
da das Thema Doping medienwirksam 
bearbeitet wird und NADOs sich weit- 
reichenden Erwartungen von WADA 
und SGBs zu stellen haben. 
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Stellungnahme der Deutschen Vereinigung für Datenschutz e. V. (DVD) 


Referentenentwurf 
des Bundesministeriums der Justiz und des Innern 


Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und 
zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU - 
DSAnpUG-EU) - Kabinettsvorlage für den 01.02.2017 


A Allgemeine Erwägung 


Es wird begrüßt, dass der Bundesge- 
setzgeber ein Gesetz zur Umsetzung der 
Europäischen Datenschutzgrundverord- 
nung (EU 2016/679, künftig DSGVO) 
sowie der der Europäischen Daten- 
schutzrichtlinie für Justiz und Inneres 
(EU 2016/680, künftig JI-Richtlinie) 
anstrebt. Die Anwendenden der Rege- 
lungen benötigen einen rechtssicheren 
Überblick darüber, welche europäischen 
und nationalen Regelungen Gültigkeit 
haben, wenn die DSGVO und die JI- 
Richtlinie im Mai 2018 direkte Wirk- 
samkeit entfalten. 


B Einzelstellungnahme zum Entwurf 
eines neuen BDSG 


Zu $ 1 Anwendungsbereich des 
Gesetzes 


Die Regelung in Abs. 2 S. 3, wonach 
„die Verpflichtung zur Wahrung gesetz- 
licher Geheimhaltungspflichten oder 
von Berufs- oder besonderen Amtsge- 
heimnissen, die nicht auf gesetzlichen 
Vorschriften beruhen“, unberührt bleibt, 
ist unklar. Es trifft zwar zu, wie in der 
Begründung ausgeführt, dass die Re- 
gelung dem bisherigen $ 1 Abs. 3 S. 2 
BDSG entspricht. Die bisherige Rege- 
lung war aber auch schon bisher nicht 
in der Lage, das komplizierte Verhält- 
nis zwischen besonderen Geheimnissen 
und Datenschutzrecht zu klären. Durch 
die Formulierung „die nicht auf gesetz- 
lichen Vorschriften beruhen“ wird der 
falsche Eindruck vermittelt, dass unter- 
gesetzlich Berufsgeheimnisse normiert 
werden könnten, was unter dem Regime 
der DSGVO nicht zutreffen kann. Ob 
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implizit ein Verweis auf Berufsordnun- 
gen von Heilberufskammern gemeint 
ist, bleibt unklar. Auf den Halbsatz kann 
und sollte deshalb verzichtet werden. 


Zu $ 2 Begriffsbestimmungen 


Es wird darauf hingewiesen, dass 
durch das Außerkrafttreten des bishe- 
rigen Bundesdatenschutzgesetzes 
(BDSG-alt) gemäß Art. 8 am 25.05.2018 
auch die darin enthaltenen Begriffsbe- 
stimmungen aufgehoben werden, auf 
die weiterhin in Kraft befindliche spezi- 
fische Regelungen im deutschen Recht 
Bezug nehmen. Es wird deshalb ange- 
regt, insofern eine Übergangsregelung 
vorzusehen. 


Zu $ 3 Verarbeitung durch 
öffentliche Stellen 


Die Regelung ist wegen Art. 6 Abs. 1 
lit. e und außerhalb des Anwendungsbe- 
reichs der Verordnung 2016/679 wegen 
bereichsspezifischen Regelungen über- 
flüssig, aber auch unschädlich. Es wird 
empfohlen, eine explizite Bezugnahme 
zu Art. 6 Abs. 1 lit. e DSGVO aufzuneh- 
men. 


Zu $ 4 Videoüberwachung 


Eine materielle Sonderregelung 
zur Videoüberwachung ist unzulässig, 
da insofern Art. 6 DSGVO weitgehend 
abschließend ist (Kühling/Martini u. a. 
S. 343 ff., Roßnagel, Europäische Daten- 
schutz-Grundverordnung, 2016, S. 52 £.). 

Dies gilt auch für den geplanten Abs. 1 
S. 2, wonach bei Videoüberwachung 
in „öffentlich zugänglichen öffentli- 
chen Anlagen ... oder Fahrzeugen und 


öffentlich zugänglichen großflächigen 
Einrichtungen des Schienen-, Schiffs- 
und Bahnverkehrs ... der Schutz von 
Leben, Gesundheit oder Freiheit der 
dort aufhältigen Personen als besonders 
wichtiges Interesse“ gilt. Diese Rege- 
lung gibt zwar inhaltlich eine Selbstver- 
ständlichkeit wider. Zweck und voraus- 
sichtliche Wirkung dieser Regelung ist 
aber, dass im Rahmen der Interessen- 
abwägung bei öffentlicher Videoüber- 
wachung den Sicherheitsinteressen der 
Vorrang eingeräumt wird. 

Zudem nimmt die auch für private 
Stellen geltende Regelung diese für öf- 
fentliche polizeiliche Sicherheitsbelan- 
ge in Anspruch und verletzt dadurch die 
Gesetzgebungsbefugnis der Länder, den 
Verhältnismäßigkeitsgrundsatz sowie 
spezifische Grundrechte wie z. B. das 
Versammlungsrecht gemäß Art. 8 GG. 
Viele Länder haben von ihrer Befugnis 
Gebrauch gemacht, Videoüberwachung 
in ihrem Versammlungsrecht zu regulie- 
ren. Der vorliegende Entwurf steht hier- 
zu sowohl formal wie auch inhaltlich im 
Widerspruch. 

Dieses Ergebnis wird verstärkt durch 
die Regelung in Abs. 3, die bei Erforder- 
lichkeit „zur Abwehr von Gefahren für 
die staatliche und öffentliche Sicherheit 
sowie zur Verfolgung von Straftaten“ 
ohne eine Angemessenheitsprüfung 
eine Zweckänderung erlaubt. Auf die 
gesonderte Stellungnahme der DVD und 
des Netzwerks Datenschutzexpertise 
vom 06.11.2016 wird verwiesen (https:// 
www.datenschutzverein.de/wp-content/ 
uploads/2016/11/Stellungnahme_ 
Videoueberwachung_06112016.pdf). 

Gemäß Abs. 2 ist der Umstand und der 
Verantwortliche der Videoüberwachung 
„zum frühestmöglichen Zeitpunkt er- 
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kennbar zu machen“. Die zeitliche Be- 
zugnahme macht keinen Sinn und ver- 
ursacht in der praktischen Umsetzung 
Probleme: Findet im öffentlichen Raum 
eine Videoüberwachung statt, so kann 
und muss diese sofort kenntlich gemacht 
werden. 

Die Erkennbarkeit von Videoüberwa- 
chung ist wegen der teilweise bestehen- 
den räumlichen Verhältnisse oft schwer 
zu realisieren. Als zusätzliche Gewähr- 
leistungsmaßnahme für Transparenz 
sollte daher eine Meldepflicht sämt- 
licher öffentlicher Videokameras vor- 
gesehen werden, kombiniert mit einer 
Veröffentlichung im Internet. Dies hätte 
nicht nur einen Transparenzgewinn für 
die Betroffenen, sondern auch für Si- 
cherheitsbehörden zur Folge, die so im 
Bedarfsfall sofort feststellen können, wo 
im Fall einer Ermittlungsnotwendigkeit 
evtl. Bildmaterial erstellt worden ist. 

Bei Videoüberwachung im öffentli- 
chen Raum sollte zudem eine Pflicht zur 
Datenschutz-Folgenabschätzung nach 
Art. 35 DSGVO normiert werden, die 
dazu führt, dass durch Marktnachfrage 
Hersteller datenschutzfreundlich gestal- 
tete, dokumentierte oder gar zertifizierte 
Produkte anbieten (s. u. D). 


Zu $ 8 Errichtung Bundesbeauf- 
tragte für den Datenschutz und die 
Informationsfreiheit (BfDI) 


In Abs. 1 S. 2 ist vorgesehen, dass der 
Sitz der BfDI Bonn sein soll. Angesichts 
der hohen grundrechtspolitischen Be- 
deutung der Stelle der BfDI ist es nicht 
sinnvoll, diese weiterhin derart weit von 
den politisch relevanten Gremien in 
Berlin zu lokalisieren. Daher sollte als 
Sitz Berlin festgelegt werden oder zu- 
mindest auf eine gesetzliche Festlegung 
vollständig verzichtet werden. 


Zu $ 11 Ernennung und Amtszeit 
der BfDI 


Die $ 22 Abs. 1 BDSG-alt überneh- 
mende Regelung des Abs. 1 sieht vor, 
dass der deutsche Bundestag die Bun- 
desbeauftragte für den Datenschutz und 
die Informationsfreiheit (BfDI) „ohne 
Aussprache auf Vorschlag der Bundes- 
regierung (...) mit mehr als der Hälfte 
der gesetzlichen Zahl seiner Mitglieder“ 
wählt. Die Wahl setzt voraus, dass die 
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BfDI „das 35. Lebensjahr vollendet“ 
hat. In Abs. 1 S. 4 wird geregelt: „Sie 
oder er muss über die für die Erfüllung 
ihrer oder seiner Aufgaben und Aus- 
übung ihrer oder seiner Befugnisse er- 
forderliche Qualifikation, Erfahrung und 
Sachkunde insbesondere im Bereich des 
Schutzes personenbezogener Daten ver- 
fügen. Insbesondere muss die oder der 
Bundesbeauftragte über durch einschlä- 
gige Berufserfahrung nachgewiesene 
Kenntnisse des deutschen und europäi- 
schen Datenschutzrechts verfügen und 
die Befähigung zum Richteramt oder 
höheren Dienst haben.“ Gemäß Abs. 3 
ist bei einer Amtszeit von 5 Jahren eine 
einmalige Wiederwahl zulässig. 

Die Beachtung rechtlicher Anforderun- 
gen an das Bestellungsverfahren und an 
die Qualifikation der Datenschutzbeauf- 
tragten stand lange Zeit nicht im Fokus 
öffentlicher Diskussion. Dies hat sich mit 
dem Gutachten des Netzwerks Daten- 
schutzexpertise vom 17.11.2016 geän- 
dert, in dem sowohl die rechtlichen An- 
forderungen wie auch die Praxis kritisch 
hinterfragt werden. Dabei erweist sich, 
dass die bisherige Praxis, die mit dem 
vorliegenden Regelungsvorschlag fort- 
geschrieben werden soll, gegen Vorgaben 
des Europarechts und des Verfassungs- 
rechts verstößt (http://www.netzwerk- 
datenschutzexpertise.de/sites/default/ 
files/gut_2016_auswahlblfdi6.pdf). 

Der Regelungsvorschlag sieht keine 
öffentliche Ausschreibung der Stelle 
der BfDI vor und schließt ausdrücklich 
eine Aussprache über die Wahl aus. Dies 
steht in Widerspruch zu Art. 53 Abs. 1 
DSGVO, wonach das Mitglied der Auf- 
sichtsbehörde „im Wege eines trans- 
parenten Verfahrens ernannt wird“. 
Die Transparenzanforderung zielt auf 
eine öffentliche demokratische Debatte 
zur Bestellung und die Gewährleistung 
einer hohen Legitimation und gleicher 
Chancen der qualifizierten Kandidaten 
ab. Dies war bisher und würde auch 
künftig nicht gewährleistet. Die geplan- 
te Regelung ist insofern europarechts- 
widrig. 

Art. 33 Abs. 2 Grundgesetz (GG) 
ist zu beachten, wonach jeder Deutsche 
„nach seiner Eignung, Befähigung und 
fachlichen Leistung gleichen Zugang zu 
jedem öffentlichen Amt“ hat. 

Das Erfordernis eines Mindestalters 
von 35 Jahren stellt eine nicht gerecht- 


fertigte Altersdiskriminierung dar (Art. 3 
Abs. 1 GG, Art. 21 Abs. 1 Europäische 
Grundrechte-Charta — GRCh). Die ab- 
schließenden persönlichen Anforderun- 
gen des Art. 53 Abs. 2 DSGVO stellen 
nicht auf das Alter ab. Der Verweis der 
Gesetzesbegründung (S. 77) auf Art. 54 
Abs. 1 lit. b DSGVO („sonstige Voraus- 
setzungen“) legitimiert keine unsachli- 
chen Anforderungen. Personen unter 35 
Jahren können die geforderte Erfahrung 
und Sachkunde vorweisen. Diese Rege- 
lung ist daher verfassungs- und europa- 
rechtswidrig. 

Das Erfordernis der Befähigung zum 
Richteramt oder höheren Dienst war 
historisch begründet, als die Daten- 
schutzbeauftragten weitgehend nur für 
die Kontrolle des öffentlichen Bereichs 
zuständig waren. Das Erfordernis findet 
sich nicht in Art. 53 Abs. 2 DSGVO und 
ist auch keine adäquate Beschreibung 
der Qualifikation und Sachkunde. Daher 
sollte auf diese Einschränkung verzich- 
tet werden. 

Die Beschränkung auf eine einmalige 
Wiederwahl findet sich nicht in der ab- 
schließenden Aufzählung der personel- 
len Anforderungen an das Mitglied der 
Aufsichtsbehörde in Art. 53 Abs. 2 DS- 
GVO. Amtsinhaber, die zwei Amtsperi- 
oden absolviert haben, können regelmä- 
Big die dort geforderte Erfahrung, Qua- 
lifikation und Sachkunde vorweisen. In 
der Praxis hat sich gezeigt, dass durch 
mehrfach wiedergewählte Datenschutz- 
beauftragte eine qualifizierte Amtsaus- 
übung gewährleistet wird. Angebliche 
Gründe für eine Beschränkung, etwa 
Erlahmen der Innovationsbereitschaft, 
treffen nicht zu. Es gibt keine Wider- 
wahlverbote in vergleichbaren Positi- 
onen. Diese Regelung ist daher verfas- 
sungs- und europarechtswidrig. 


Zu $ 13 Rechte und Pflichten der 
BfDI 


In Abs. 5 S. 2 ist vorgesehen, dass 
die BfDI keine Aussagebefugnis als 
Zeugin hat, soweit die Aussage lau- 
fende oder abgeschlossene Vorgänge 
betrifft, „die dem Kernbereich exeku- 
tiver Eigenverantwortung der Bundes- 
regierung zuzurechnen sind oder sein 
könnten“. In diesen Fällen muss das 
„Benehmen mit der Bundesregierung“ 
hergestellt werden. Was zum Kernbe- 
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reich exekutiver Eigenverantwortung 
der Bundesregierung zu zählen ist, ist 
völlig unklar. Dadurch, dass schon die 
theoretische Möglichkeit eines solchen 
Betroffenseins dazu führt, dass die Aus- 
sagebefugnis von einem Benehmen mit 
der Bundesregierung abhängig gemacht 
wird, wird die Unabhängigkeit der BfDI 
unangemessen beeinträchtigt. Es wird 
vorgeschlagen, insofern eine Kann-Re- 
gelung bzgl. der Aussageverweigerung 
vorzusehen sowie eine Sollregelung in 
Bezug auf das Benehmen mit der Bun- 
desregierung. 


Zu $ 14 Aufgaben der BfDI 


Die DSGVO sieht als Aufgabe von 
Aufsichtsbehörden auch „Datenschutz- 
zertifizierungsmechanismen und von 
Datenschutzsiegeln und -prüfzeichen 
nach Artikel 42 Absatz 1“ vor. (Art. 57 
Abs. 1 lit. n DSGVO). Datenschutz- 
Zertifizierung gibt es bisher in Deutsch- 
land nur auf Länderebene und ist auch 
künftig als Aufgabe für die BfDI nicht 
vorgesehen. Dies entspricht nicht den 
aktuellen technischen und rechtlichen 
Erfordernissen, die in der DSGVO er- 
kannt und festgelegt werden. 


Zu 8 16 Befugnisse der BfDI 


In Abs. 2 ist vorgesehen, dass außer- 
halb des Anwendungsbereichs der DS- 
GVO bei der Feststellung von Daten- 
schutzverstößen durch öffentliche Stel- 
len — wie bisher - lediglich als „Sank- 
tion“ eine Beanstandung zulässig ist. 
Diese Regelung ignoriert die Regelungs- 
intention des neuen europäischen Da- 
tenschutzrechts, angesichts der großen 
Umsetzungsdefizite beim Datenschutz 
— auch im öffentlichen Bereich — wirk- 
same Sanktionen zu ermöglichen. Bean- 
standungen haben sich insbesondere im 
Sicherheitsbereich oft als wirkungslos 
erwiesen, da sie kein rechtliches Instru- 
ment sind, mit dem Verantwortliche zu 
rechtskonformem Vorgehen gebracht 
werden können. Dies haben u. a. die 
Datenschutzverstöße durch den Bundes- 
nachrichtendienst (BND) gezeigt, die 
nach den Offenlegungen von Edward 
Snowden bekannt geworden sind. Mit 
der Regelung wird gerade im Bereich 
der JI-Richtlinie sowie der Geheim- 
dienste auf eine effektive Sanktionsform 
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verzichtet. Sollen finanzielle Sanktionen 
sowie Unterlassungs- und Beseitigungs- 
verfügungen nicht möglich sein, so muss 
der BfDI zumindest ein Klagerecht vor 
Gericht gegen rechtswidrige Datenverar- 
beitung eröffnet werden. 

Die Regelung des Abs. 3 S. 1, wonach 
sich die Befugnisse der BfDI auch auf 
Post-und Telekommunikationsgeheim- 
nisse sowie auf Steuergeheimnisse er- 
strecken, ist historisch begründet und 
inzwischen eine Selbstverständlichkeit, 
welcher es nicht bedarf. Auf sie sollte 
deshalb verzichtet werden. 


Zu $ 17 Vertretung im Europä- 
ischen Datenschutzausschuss 
(EDSA) 


In Abs. 1 ist vorgesehen, dass die BfDI 
die gemeinsame Vertretung Deutsch- 
lands im Datenschutzausschuss (EDSA) 
wahrnimmt. Die Stellvertretung soll aus 
den Leitungen der Landes-Aufsichts- 
behörden vom Bundesrat ausgewählt 
werden. Bei Angelegenheiten, die ins- 
besondere die Länderaufsicht betreffen, 
soll nach Abs. 2 im EDSA vorrangig die 
Stellvertretung tätig werden. Diese Re- 
gelung ist nicht sachgerecht und beein- 
trächtigt die Unabhängigkeit der Lan- 
desaufsichtsbehörden. 

Hauptaufgabe des EDSA wird die 
Festlegung von Positionen im Bereich 
des Datenschutzes im nicht-öffentli- 
chen Bereich (oder in der Begrifflich- 
keit der DSGVO: für Unternehmen) 
sein. Insofern hat die BfDI — abgesehen 
von Post- und Telekommunikationsun- 
ternehmen — weder Kompetenzen noch 
Erfahrungen. Diese liegen vielmehr bei 
den Landesaufsichtsbehörden. 

Durch die Bestimmung der Stellver- 
tretung durch den Bundesrat wird dem 
Bundesrat die Möglichkeit eröffnet, am 
Willen der Aufsichtsbehörden vorbei 
unter Anlegung sachfremder Erwägun- 
gen für diese deren Vertretung zu benen- 
nen. Dies kann zur Folge haben, dass 
die dadurch in den EDSA eingebrachten 
Positionen nicht die der unabhängigen 
Aufsichtsbehörden repräsentieren. Die 
Regelung ist völlig unangemessen. 

Es wird vorgeschlagen, die Bestim- 
mung der Vertretung und der Stellvertre- 
tung der deutschen Aufsichtsbehörden 
diesen selbst zu überlassen. Diese soll- 
ten mit qualifizierter Mehrheit ihre Ver- 


tretung im EDSA selbst wählen. Die- 
ser Vorschlag entspricht der „Kühlungs- 
borner Erklärung“ der unabhängigen 
Datenschutzbehörden der Länder vom 
10.11.2016  (https://www.datenschutz. 
de/kuehlungsborner-erklaerung-der- 
unabhaengigen-datenschutzbehoerden- 
der-laender-vom-10-november-2016/). 


Zu $ 18 Verfahren der Zusammen- 
arbeit der Aufsichtsbehörden 


Zur Bestimmung von gemeinsamen 
Positionen der deutschen Aufsichtsbe- 
hörden soll gemäß Abs. 2 zunächst ein 
Einigungsverfahren angestrebt wer- 
den. Gelingt eine Einigung nicht, so 
soll der Vertreter bzw. in Länderangele- 
genheiten der Stellvertreter ein Bestim- 
mungsrecht haben, „wenn nicht die Auf- 
sichtsbehörden von Bund und Ländern 
einen anderen Standpunkt mit einfacher 
Mehrheit beschließen“. Wegen der nicht 
repräsentativen Festlegung der Vertre- 
tung (s. o. zu $ 17) wird damit in die 
Unabhängigkeit der Aufsichtsbehörden 
unangemessen eingegriffen. 

Nach Abs. 3 S. 2 soll im Falle, dass eine 
Einigung unter den deutschen Aufsichts- 
behörden nicht möglich ist, der Stellver- 
treter ein Bestimmungsrecht haben, wenn 
„die Angelegenheit die Wahrnehmung 
von Aufgaben betreffen, für welche die 
Länder alleine das Recht zur Gesetzge- 
bung haben, oder welche die Einrichtung 
oder das Verfahren von Landesbehörden 
betrifft“. Die Regelung ist unklar: Das 
Recht der Gesetzgebung liegt in vielen 
Fällen des Datenschutzrechtes, insbeson- 
dere auch im nicht-öffentlichen Bereich, 
beim Bund, während die hier in Frage 
stehende Verwaltungskompetenz bei den 
Ländern liegt. In der Regelung kann auf 
den Verweis auf die Gesetzgebungskom- 
petenz verzichtet werden. 


Zu $ 22 Verarbeitung besonderer 
Kategorien personenbezogener 
Daten 


In der Regelung werden wesentliche 
Inhalte des Art. 9 DSGVO wiederholt, 
ohne weitere Präzisierungen vorzu- 
nehmen. Diese Regelung ist wegen der 
reinen Paraphrasierung ohne eine zu- 
sätzliche Regelungsabsicht rechtswidrig 
(Kühling/Martini u. a., S. 6 ff. m. w. N.). 
Auf sie sollte verzichtet werden. 
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In Abs. 2 werden Aussagen gemacht, 
was „angemessene und spezifische 
Maßnahmen zur Wahrung der Grund- 
rechte und Interessen der betroffenen 
Personen“ gemäß Art. 9 Abs. 1 DSGVO 
sind. Problematisch ist hierbei, dass auf 
die „Implementierungskosten“ Bezug 
genommen wird, die in Art. 32 DSGVO 
bzgl. der informationstechnischen Si- 
cherheit, nicht aber bzgl. der Gestaltung 
von Verfahren nach Art. 25 DSGVO 
oder materiell-prozessualen Vorkehrun- 
gen relevant sein sollen. Selbstverständ- 
lich können solche Kosten bei Angemes- 
senheitsentscheidungen eine Rolle spie- 
len. Deren explizite Erwähnung eröffnet 
aber die Möglichkeit, spezifische Maß- 
nahmen allein aus Kostengründen zu- 
rückzuweisen. Wenig förderlich ist auch 
der Verweis auf Sensibilisierungs- und 
Schulungsmaßnahmen (Abs. 2 Satz 2 
Nr. 2). Die in Abs. 2 enthaltenen Erwäh- 
nungen sind nicht vollständig und wei- 
sen erst recht nicht auf eine Priorisie- 
rung hin. Die Regelung ist daher nicht 
geeignet, eine Konkretisierung der euro- 
päischen Vorgaben zu bewirken. Daher 
sollte auf sie verzichtet werden. 

Es ist nicht erkennbar, weshalb die 
Anwendung von Abs. 2 gemäß Satz 3 im 
Fall des Abs. 1 lit. b (Datenverarbei- 
tung im Gesundheits- und Sozialbe- 
reich durch Berufsgeheimnisträger) 
ausgeschlossen wird. Zwar werden auch 
in Art. 9 Abs. 3 DSGVO mit der Re- 
gelung zu Berufsgeheimnisträgern die 
angemessenen spezifischen Sicherungs- 
maßnahmen erwähnt, doch erfolgt dies 
systematisch an einem anderen Ort. Es 
dürfte nicht bestritten werden können, 
dass solche Maßnahmen auch und gera- 
de erforderlich sind, wenn hochsensible 
Daten, die Berufsgeheimnissen unterlie- 
gen, verarbeitet werden. 


Zu $ 23 Zweckänderungen öffentli- 
cher Stellen 


In der Norm werden eine Vielzahl von 
Zweckänderungen erlaubt, die schon der- 
zeit ihre Erlaubnisgrundlage in der DS- 
GVO finden. Insofern sind sie überflüs- 
sig und wegen der reinen Wiederholung 
europäischer Normvorgaben unzulässig. 
In Abs. 1 wurde gegenüber den Vorent- 
würfen die Sicherung des Steuer- und 
Zollaufkommens als Rechtfertigung für 
eine Zweckänderung neu aufgenommen. 
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Diese Regelungen beziehen sich auf 
die in Art. 6 Abs. 1 lit. e DSGVO vor- 
gegebenen Verarbeitungsbefugnissen, 
ohne jedoch bei sämtlichen Alternativen 
eine Abwägung mit dem Betroffenen- 
interessen vorzusehen. Damit laden 
diese Regelungen zu einer pauschalen 
Missachtung dieser Interessen ein und 
begründen unverhältnismäßige Informa- 
tionseingriffe durch Zweckänderungen. 


Zu $ 26 Verarbeitung von Beschäf- 
tigtendaten 


Die Wiederauflage des missglückten 
& 32 BDSG-alt ist abzulehnen. Die- 
se Norm führte zu Rechtsunsicherheit, 
nicht zur Präzisierung von Verarbei- 
tungsbefugnissen und Betroffenenrech- 
ten. Zudem darf bezweifelt werden, dass 
die vorgesehene Regelung den Anfor- 
derungen des Art. 88 Abs. 2 DSGVO 
standhält. Es bedarf vielmehr eines 
umfassenden Beschäftigtendatenschutz- 
gesetzes, wozu das Netzwerk Daten- 
schutzexpertise die relevanten Rahmen- 
bedingungen in seinem Gutachten vom 
08.04.2016 benannt hat (http://www. 
netzwerk-datenschutzexpertise.de/sites/ 
default/files/gut_2016_dsgvo_beschds. 


pdf). 


Zu 8 27 Zwecke der wissenschaftli- 
chen Forschung 


Die geplante Forschungsregelung ist 
unvollständig und unterschreitet das in 
der DSGVO vorgeschriebene Niveau. 
Unvollständig ist Abs. I im Hinblick 
auf sensitive Daten gemäß Art. 9 Abs. 1 
DSGVO dadurch, dass eine Konkreti- 
sierung von angemessenen Schutzmaß- 
nahmen, wie in Art. 9 Abs. 2 lit. | DS- 
GVO gefordert, unterlassen wird. Art. 
89 Abs. 1 DSGVO sieht vor, dass die 
Datenverarbeitung zu „Archivzwecken, 
zu wissenschaftlichen oder historischen 
Forschungszwecken oder zu statisti- 
schen Zwecken (...) geeigneten Garan- 
tien für die Rechte und Freiheiten der 
betroffenen Person“ zu unterliegen hat. 
Derartige Schranken enthält der vorge- 
legte Entwurf nicht. Unvollständig ist 
die Regelung auch im Hinblick auf die 
Verarbeitung von Berufsgeheimnissen, 
z. B. dem Patientengeheimnis unter- 
liegenden Daten, da insofern weiterhin 
$ 203 StGB als Hindernis zur Einbe- 


ziehung in Forschungsvorhaben beste- 
hen bleibt. Tatsächlich werden keine 
ausreichenden und effektiven Schutz- 
maßnahmen geregelt, sondern lediglich 
ein Minimalkatalog beliebiger Vorkeh- 
rungen. So wird es z. B. unterlassen, 
ein explizites beschlagnahmesicheres 
Forschungsgeheimnis festzuschreiben. 
Unbefriedigend ist die Regelung insge- 
samt, da sie nicht das Ziel verfolgt, den 
Wirrwarr unterschiedlicher spezifischer 
Forschungsklauseln im Bundes- und im 
Landesrecht zu vereinheitlichen und zu 
modernisieren. Zur Sicherung des Da- 
tenschutzes in der Forschung und einer 
damit verbundenen Stärkung des For- 
schungsstandortes Deutschland bedarf 
es eines umfassenden Forschungsge- 
setzes, das, um auch die Regelungs- 
ebene der Länder mit einzuschließen, 
als Bund-Länder-Staatsvertrag erlassen 
werden sollte. 

Der Ausschluss des Auskunftsan- 
spruchs bei Erforderlichkeit für die 
wissenschaftliche Forschung und einem 
„unverhältnismäßigen Aufwand“ nach 
Abs. 2 ist zu unbestimmt und ermöglicht 
Forschenden mit Pauschalbegründun- 
gen die Verweigerung von Transparenz 
gegenüber den Betroffenen. 


Zu $ 29 Geheimnisschutz 


Die Regelung beschreibt nur völlig 
unzureichend, welche Daten mit ihr er- 
fasst werden sollen: Die Kennzeichnung 
von Daten danach, dass diese „nach ei- 
ner Rechtsvorschrift oder ihrem Wesen 
nach, insbesondere wegen des über- 
wiegenden rechtlichen Interesses eines 
Dritten, geheim gehalten werden müs- 
sen“, ist zu unbestimmt und kann auf 
jede Form eines spezifischen Geheim- 
nisses angewendet werden, nicht nur auf 
Berufsgeheimnisse nach $ 203 Abs. 1, 
(2a,) 3 StGB, $ 53, 54 StPO, sondern 
auch auf das Sozialgeheimnis nach $ 35 
SGB I, ja sogar auf weitgehend unregu- 
liert bleibende Betriebs- und Geschäfts- 
geheimnisse. In der Literatur wird diese 
Regelung - fälschlich — gar auf Amtsge- 
heimnisse wie z. B. das Statistik- oder 
das Meldegeheimnis erstreckt (Paal/ 
Pauly, Datenschutz-Grundverordnung, 
2016, Art. 90 Rn. 6). Es bedarf vielmehr 
einer rechtssicheren Verweisung auf ei- 
nen engen Kranz aus besonderen Grün- 
den gesondert zu behandelnder Daten. 
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Gemäß dem Absatz 1 werden das In- 
formationsrecht nach Art. 14 DSGVO 
und das Auskunftsrecht nach Art. 15 
DSGVO eingeschränkt, wenn die Daten 
„ihrem Wesen nach, insbesondere we- 
gen der überwiegenden berechtigten In- 
teressen eines Dritten, geheim gehalten 
werden müssen“. Diese Formulierung 
ist für alle Beteiligten nicht kalkulierbar 
und zu unbestimmt. Die Unbestimmt- 
heit der erfassten Daten erstreckt sich 
auf diese Beschränkung informationel- 
ler Selbstbestimmung generell und des 
Auskunftsanspruchs als „Magna Charta 
des Datenschutzes“ (s. u. zu $ 34). Da- 
mit wird die grundlegende Garantie des 
Auskunftsanspruchs in Art. 8 Abs. 28.2 
GRCHh verletzt, der Folgendes vorsieht: 
„Jeder Mensch hat das Recht, Auskunft 
über die ihn betreffenden erhobenen 
Daten zu erhalten“. Diese Unbestimmt- 
heit beruht auch auf der völlig offenen 
Abwägungsnorm, die weder für Anwen- 
der noch für Betroffene einschätz- und 
berechenbar ist. Die Einschränkung des 
Auskunftsanspruchs muss sich auf spe- 
zifische Fallgestaltungen beschränken, 
die notwendig und verhältnismäßig 
sind. Die vorliegende Regelung genügt 
diesen Anforderungen nicht und ist eu- 
roparechts- und verfassungswidrig. 

Auch die Ausnahme von der Infor- 
mationspflicht in Abs. 2 ist sowohl 
hinsichtlich des Anwendungsbereichs 
wie auch des Inhaltes unbestimmt. In 
der Begründung (S. 105 £.) wird auf die 
Kommunikation zwischen Mandan- 
ten von Wirtschaftsprüfern und Rechts- 
anwälten Bezug genommen, während 
in der Regelung generell der erheblich 
weitere Begriff der Berufsgeheimnis- 
träger verwendet wird. Das Kundenver- 
hältnis anderer Berufsgeheimnisträger 
kann auch als Mandat gekennzeichnet 
werden. Zudem verwendet die Ausnah- 
meregelung wieder eine offene, beliebig 
verwendbare Abwägungsformel. 

In Abs. 3 wird bei den in $ 203 Abs. 1, 
2a und 3 StGB beschriebenen Daten 
die Datenschutzkontrolle durch die 
zuständige Aufsicht mit unbestimmten 
Formulierungen unverhältnismäßig be- 
schnitten. Es soll keine Untersuchungs- 
befugnisse geben, „soweit die Inan- 
spruchnahme der Befugnisse zu einem 
Verstoß gegen die Geheimhaltungs- 
pflichten dieser Personen führen würde“. 
Bisher ist unbestritten, dass zu den in die 
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Kontrolle einbezogenen Daten auch Be- 
rufsgeheimnisse gehören. Bisher gehört 
die Kontrolle der Wahrung des Patien- 
ten- und den Sozialgeheimnisses sogar 
zu den Schwerpunkten der aufsichtsbe- 
hördlichen Tätigkeit. Diese würde mas- 
siv behindert, da jeder Verantwortliche 
sich einer Kontrolle zunächst dadurch 
entziehen könnte, dass er geltend macht, 
seine Geheimhaltungspflichten würden 
verletzt. Im ärztlichen und psychologi- 
schen Bereich wurde die Datenschutz- 
kontrolle bisher auch von den geprüf- 
ten Stellen nicht in Frage gestellt. Sie 
ist vielmehr oft ein Instrument, um das 
Vertrauen in die jeweiligen Stellen zu 
erhöhen. 

Der Gesetzentwurf geht von der fal- 
schen Annahme aus, dass Datenschutz- 
kontrollen den Datenschutz verletzen 
könnten. Tatsächlich unterliegen die bei 
einer Kontrolle erlangten Daten einer 
strengen Zweckbindung. Es ist in der 
über 40-jährigen Geschichte der Daten- 
schutzaufsicht noch kein Fall bekannt 
geworden, dass über Datenschutzkon- 
trollen Berufsgeheimnisse offenbart 
worden wären. Dem kann durch die 
vorgesehene Regelung, auf die Daten- 
schutzaufsichtt die Geheimhaltungs- 
pflicht des Verantwortlichen auszuwei- 
ten, auch künftig vorgebeugt werden. 

Durch die vorgesehene weitgehende 
Ausnahme von der Datenschutzkontrol- 
le wird das von der DSGVO verfolgte 
Ziel einer weitgehenden Harmonisie- 
rung verfehlt. Sie hat auch zur Folge, 
dass vom Europäischen Datenschutz- 
ausschuss gemäß Art. 70 DSGVO er- 
arbeitete Leitlinien, Empfehlungen und 
bewährte Verfahren nur begrenzt ein- 
und umgesetzt werden können. 

Die Begründung (S. 106) verweist 
auf die bundesverfassungsgerichtliche 
Rechtsprechung, wonach das Mandats- 
verhältnis nicht mit Unsicherheiten hin- 
sichtlich seiner Vertraulichkeit belastet 
werden darf (BVerfG U. v. 12.04.2005, 
NJW 2005, S. 1917). Dies schließt eine 
externe Kontrolle der Rechtmäßigkeit 
des Berufsgeheimnisträgers nicht aus. 
Es genügt, dass Abs. 2 S. 2 die Geheim- 
haltungspflicht auf die Aufsichtsbehörde 
verlängert und ein Beweisverwertungs- 
verbot im Strafverfahren schafft. 

Politisch angegriffen wurde die Kon- 
trollbefugnis der Datenschutzaufsicht 
im nicht-öffentlichen Bereich bisher 


ausschließlich durch Anwaltsorgani- 
sationen. Praktische Probleme sind in 
diesem Bereich aber in der 40-jährigen 
Aufsichtsgeschichte nur in wenigen 
Einzelfällen aufgetreten, die durch eine 
Berücksichtigung des Mandantenge- 
heimnisses bei der Datenschutzkontrol- 
le aufgelöst werden konnten. Der An- 
waltschaft geht es darum, sich der un- 
abhängigen Datenschutzkontrolle nicht 
zum Schutz der Mandanten und des 
Mandantengeheimnisses zu entziehen, 
sondern zur Freistellung von Kontrolle 
generell. Es ist unbestreitbar, dass auch 
Anwälte dem Datenschutzrecht unter- 
liegen und unterliegen müssen (ausführ- 
lich dazu Weichert NJW 2009, 550 ff.; 
Weichert in Däubler/Klebe/Wedde/Wei- 
chert, Bundesdatenschutzgesetz, 5. Aufl. 
2016, $38 Rn. 11 m. w.N.). 

Art. 90 DSGVO erlaubt nur Ein- 
schränkungen der Datenschutzkontrolle, 
die „notwendig und verhältnismäßig“ 
sind. Hierzu gibt es weder im Gesetzes- 
text noch in der Begründung Ausfüh- 
rungen. Die geplante Einschränkung 
ist sachlich nicht zu begründen. Daten- 
schutzverstöße durch Berufsgeheim- 
nisträger werden dadurch vollständig 
kontroll- und damit auch sanktionsfrei 
gestellt, so dass die Schutzfunktion un- 
abhängiger Datenschutzkontrolle, die in 
Art. 8 Abs. 3 GRCh ausdrücklich fest- 
geschrieben ist, verloren geht. Die Re- 
gelung ist daher verfassungs- und euro- 
parechtswidrig. Auf sie kann und sollte 
ersatzlos verzichtet werden. 

Der Begründung ist auf S. 106 zu ent- 
nehmen, dass S. 2 von Abs. 3 sich auf 
Daten bei Auftragsverarbeitern von 
Berufsgeheimnisträgern beziehen 
soll. Diese Zielsetzung ist der geplan- 
ten Gesetzesformulierung nicht zu ent- 
nehmen. Die Begründung verdreht die 
Rechtslage: Auftragsverarbeiter können 
im Rahmen einer Datenschutzkontrolle 
gegenüber ihren Auftraggebern nicht 
vertragsbrüchig werden. Das rechtliche 
Problem ist derzeit, dass das Outsour- 
cing personenbezogener Datenverarbei- 
tung seit Jahren einen Verstoß gegen die 
berufliche Geheimhaltungspflicht dar- 
stellt. Es ist zu begrüßen, dass insofern 
nun vonseiten des Bundesjustizminis- 
terium ein Referentenentwurf erarbeitet 
wurde, der diese rechtlich nicht akzep- 
table Situation auflöst. Dieser zu begrü- 
Bende Entwurf sollte umgehend einge- 
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bracht und spätestens zeitgleich mit den 
Umsetzungsregelungen zur DSGVO in 
Kraft gesetzt werden (s. u. D). 


Zu $ 31 Schutz des Wirtschaftsver- 
kehrs bei Scoring und Bonitätsaus- 
künften 


Die Übernahme dieser Regelungen 
aus dem BDSG-alt ($$ 28b, 28b) ist in 
Bezug auf den Regelungsinhalt grund- 
sätzlich zu begrüßen. Es ist aber in Fra- 
ge zu stellen, ob „die Verwendung eines 
Wahrscheinlichkeitswerts“, insbesonde- 
re im Hinblick auf „die Zahlungsfähig- 
und Zahlungswilligkeit“ ein „wichtiges 
Ziel des allgemeinen öffentlichen Inter- 
esses‘“ der Bundesrepublik Deutschland 
darstellt und damit, ob die Öffnungs- 
klausel aus Art. 6 Abs. 4 i. V. m. Art. 23 
Abs. 1 DSGVO greift, so wie dies in 
der Begründung eines Vorentwurfs zum 
Kabinettsentwurf erwähnt wurde. Der 
aktuelle Entwurf äußert sich zur Rege- 
lungsberechtigung nicht. 

Mit Abs. I soll der bisherige $ 28b 
BDSG-alt zum Scoring fortgelten. Es 
ist fraglich, inwieweit dies durch die ab- 
schließenden Regelungen des Art. 6 Abs. 1 
DSGVO ausgeschlossen ist. Wenn dies 
verneint wird, sind gemäß Art. 22 Abs. 2 
lit. b DSGVO in jedem Fall angemessene 
Maßnahmen zur Wahrung der Rechte 
und Freiheiten und berechtigten Inter- 
essen der Betroffenen zu gewährleisten 
(Roßnagel, S. 141; Kühling/Martini u. a., 
S. 440 ff.). Angesichts der in Deutschland 
gesammelten Erkenntnisse zum Scoring 
ist offensichtlich, dass dies nicht der 
Fall ist. So zeigt sich, dass bei der Ein- 
grenzung der zulässigen Datenarten und 
Quellen, hinsichtlich der Einbeziehung 
von Sekundärdaten, der Kontrolle der 
Verfahren und der geforderten Relevanz 
und Prognosegüte große Regelungsdefi- 
zite bestehen und neue Formen des Sco- 
ring, die über die klassische Bonitätsbe- 
wertung hinausgehen, nicht hinreichend 
abgedeckt sind (ausführlich Unabhän- 
giges Landeszentrum für Datenschutz 
Schleswig-Holstein/GP Forschungs- 
gruppe, Scoring nach der Datenschutz- 
Novelle 2009 und neue Entwicklungen, 
2014,  http://www.bmjv.de/SharedDocs/ 
Downloads/DE/PDF/Scoring-Studie. 
pdf? _ blob=publicationFile&v=3). 

In Abs. 2 wird die Datenbeschaffung 
durch Auskunfteien in Bezug auf Boni- 
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tätsbewertungen mittels Scoring geregelt. 
Diese Regelung selbst beschränkt sich 
auf Scoringverfahren, in der Begründung 
ist aber generell von der Datenbeschaf- 
fung für Kreditinformationssysteme 
die Rede. Damit fallen Regelungsintenti- 
on und Regelungsinhalt auseinander. 


Zu $ 32 Informationspflichten bei 
der Erhebung bei Betroffenen 


Nach Abs. 1 Nr. 2 rechtfertigt schon 
ein „unverhältnismäßiger Aufwand“ 
den Verzicht auf Informationen nach 
Art. 13 DSGVO zur Verarbeitung bei ei- 
ner Betroffenenerhebung. Diese äußerst 
unbestimmte Norm ermöglicht es Ver- 
antwortlichen, ohne weiteren Rechtfer- 
tigungsbedarf keine Betroffeneninfor- 
mationen bereitzustellen. Die Schwelle 
zur Rechtfertigung fehlender Transpa- 
renz ist zu erhöhen. 


Zu $ 33 Informationspflichten bei 
Dritterhebung 


Gemäß Abs. 1 Nr. 1 lit. a genügt schon 
eine Gefährdung der ordnungsgemä- 
ßen Erfüllung der Aufgaben einer 
öffentlichen Stelle, um auf eine Infor- 
mation der Betroffenen nach Art. 14 
DSGVO zu verzichten. Dies ist eine un- 
verhältnismäßige Beeinträchtigung des 
Transparenzanspruchs der Betroffenen. 
Angemessen wäre allenfalls eine höhere 
Schwelle, etwa die „Beeinträchtigung 
einer zulässigen Aufgabenerfüllung“. 

Abs. 1 Nr. 2 lit. a legitimiert die 
Nichtinformation der Betroffenen, wenn 
eine erhebliche Gefährdung der Ge- 
schäftszwecke des Verantwortlichen 
angenommen wird. Dies eröffnet ein 
hohes Missbrauchspotenzial, da die 
Geschäftszwecke einseitig durch den 
Verantwortlichen definiert werden. Für 
eine angemessene Regelung bedürfte es 
ergänzender Schutzmaßnahmen. Die in 
Abs. 2 genannten Vorkehrungen, die zu 
„geeigneten Maßnahmen zur Informati- 
on für die Öffentlichkeit“ verpflichten, 
genügen zur Verhinderung von Miss- 
brauch der Transparenzausnahme nicht. 


Zu $ 34 Einschränkung des Aus- 
kunftsanspruchs 


Abs. 1 Nr. 1 rechtfertigt die Aus- 
kunftsverweigerung bei Vorliegen eines 


Grundes zum Verzicht auf Informatio- 
nen nach den $ 33. Dies hat zur Folge, 
dass schon mit der Gefährdung der 
Aufgabenerfüllung oder der erhebli- 
chen Gefährdung der Geschäftszwecke 
die Auskunftsverweigerung begründet 
werden kann. Die Wahrung von an- 
geblichen Geschäftsgeheimnissen, die 
in personenbezogenen Daten bestehen, 
können, anders als die Regelung sugge- 
riert, eine Auskunftsverweigerung nicht 
rechtfertigen (ULD/GP Forschungs- 
gruppe, Scoring-Gutachten, S. 44 ff. 
gegen BGH NJW 2014, 341). Diese 
Ausnahme von der Auskunftspflicht 
ist ersatzlos zu streichen. Angesichts 
des hohen Rangs des grundrechtlich in 
Art. 8 Abs. 2 S. 2 GRCh garantierten 
Anspruchs auf Auskunft — der Magna 
Charta des Datenschutzes (z. B. Mall- 
mann in Simitis, BDSG, 8. Aufl. 2014, 
$ 19 Rn. 1) - ist die Einschränkung des 
Auskunftsanspruchs unverhältnismäßig 
und verfassungswidrig. 


Zu $ 35 Einschränkung der 
Löschungsverpflichtung 


Abs. 1 sieht vor, dass keine Lösch- 
pflicht besteht, wenn „eine Löschung we- 
gen der besonderen Art der Speicherung 
nicht oder nur mit unverhältnismäßi- 
gem Aufwand möglich ist“. Diese Rege- 
lung steht im Widerspruch zu Art. 25, 32 
DSGVO zu den technisch-organisatori- 
schen Maßnahmen. Solche Maßnahmen 
zielen auch auf die Intervenierbarkeit von 
Daten ab, die bei der Gestaltung der Sys- 
teme beachtet werden muss. Automati- 
sierte Verfahren, die in der Vergangenheit 
nicht in der Lage waren, spezifische Lö- 
schungen vorzunehmen, wurden inzwi- 
schen überarbeitet. Die Norm würde nun 
dazu einladen, Verfahren zu etablieren, 
mit denen mangels Löschbarkeit der Da- 
ten auf obligatorische Datenlöschungen 
verzichtet werden könnte. 


Zu $ 36 Einschränkung des Wider- 
spruchsrechts 


Nach der Regelung besteht kein Recht 
auf Widerspruch nach Art. 21 Abs. 1 
DSGVO, „soweit an der Verarbeitung 
ein zwingendes öffentliches Interesse 
besteht, das die Interessen der betroffe- 
nen Person überwiegt oder eine Rechts- 
vorschrift zur Verarbeitung verpflich- 
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tet“. Diese Norm bringt das Recht, Wi- 
derspruch einzulegen und das Recht, auf 
der Grundlage eines Widerspruchs eine 
Veränderung bei der Datenverarbeitung 
zu bewirken, durcheinander. Ein Wi- 
derspruch ist für sich nicht in der Lage, 
einen Verarbeitungszweck ernsthaft zu 
beeinträchtigen; dies gilt allenfalls für 
die sich evtl. daraus ergebende Ein- 
schränkung der Verarbeitung. Die Rege- 
lung ist überflüssig und sollte gestrichen 
werden. 


Zu 8 37 Automatisierte Entschei- 
dung über medizinische Entgelte 


In Abs. 1 Nr. 2 und Abs. 2 ist vorge- 
sehen, dass automatisierte Entscheidun- 
gen „auf der Anwendung verbindlicher 
Entgeltregelungen für Heilbehand- 
lungen“ beruhen und dabei Gesund- 
heitsdaten verarbeitet werden dürfen, 
wenn angemessene Sicherungsmaßnah- 
men vorgesehen sind. Diese insbeson- 
dere auf den Versicherungsbereich ab- 
zielende Norm ist in einem allgemeinen 
Datenschutzgesetz systemfremd. 

Die Regelung ist insofern gefährlich, 
dass sie im Interesse der Kosteneffizient 
der Abrechnung von Heilbehandlungen 
den Betroffenen aufgibt, zur Wahrung 
ihrer Interessen aktiv zu werden, wozu 
viele Menschen kognitiv oder auch aus 
anderen Gründen nicht in der Lage sein 
werden. Zwar fordert die Regelung, dass 
bei antragsablehnenden Entscheidungen 
„angemessene Maßnahmen zur Wahrung 
der berechtigten Interessen der betroffe- 
nen Person“ getroffen werden müssen, 
doch sind diese möglichen Maßnahmen 
derart unbestimmt formuliert, dass die 
Regelung dazu führen kann, dass Pati- 
enten bei der Abrechnung medizinischer 
Leistungen über den Tisch gezogen wer- 
den. Eine Regelung der Automatisierung 
in diesem Bereich muss in einem speziel- 
len Gesetz unter konkreter Benennung 
der Sicherungsmaßnahmen erfolgen. 
Dies gilt auch vor dem Hintergrund, dass 
die geplante Regelung Vorbild sein könn- 
te für eine Vielzahl weiterer automatisier- 
ter Abrechnungsverfahren. 


Zu $ 38 Datenschutzbeauftragte 
nicht-öffentlicher Stellen 


Es ist zu begrüßen, dass die bewährte 
Normierung aus dem BDSG zum Da- 
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tenschutzbeauftragten in der Wirtschaft 
inhaltlich weitgehend übernommen 
werden soll. Immer noch sehr viele Un- 
ternehmensleitungen sind der Ansicht, 
dass sie sich nicht um die Umsetzung 
des Datenschutzes kümmern müssten, 
solange sie keinen Datenschutzbeauf- 
tragten zu bestellen haben. Diese Ein- 
stellung kann sich durch die deutlich 
gestiegenen Höchstgrenzen für Bußgel- 
der im Lauf der Zeit wandeln. Durch 
die Beibehaltung der bisherigen Rege- 
lungen zur Bestellpflicht von Daten- 
schutzbeauftragten wird eine präventive 
Umsetzung des Datenschutzes — die aus 
Betroffenensicht unbedingt erforderlich 
ist — gefördert. 


Zu $ 39 Akkreditierung von Zertifi- 
zierungsstellen 


Die nationale Umsetzungsnorm zu 
den Art. 42, 43 DSGVO zur daten- 
schutzrechtlichen Zertifizierung und zur 
Erteilung von Datenschutzgütesiegeln 
und -prüfzeichen beschränkt sich dar- 
auf, die zuständigen Aufsichtsbehörden 
in Bund und Ländern und die Deutsche 
Akkreditierungsstelle für die Erteilung 
der Befugnis, als Zertifizierungsstelle 
tätig zu werden, für zuständig zu erklä- 
ren. Diese äußerst schlanke Regelung 
lässt praktisch alles hinsichtlich der 
Akkreditierung von Prüfstellen und der 
von diesen vorzunehmenden Zertifizie- 
rungen im Unklaren. Dies veranlasst 
die Aufsichtsbehörden und die Deut- 
sche Akkreditierungsstelle, alles We- 
sentliche in eigener Verantwortung zu 
regeln. Dies ist äußerst unbefriedigend. 
Nötig sind insbesondere Regelungen, 
mit denen schon im Rahmen des Zertifi- 
zierungsverfahrens und nicht erst durch 
eine Intervention der zuständigen Auf- 
sichtsbehörden die Qualität der Zertifi- 
zierungen gewährleistet wird. Ohne eine 
solche Qualitätssicherung können Zerti- 
fikate zur Umgehung des Datenschutzes 
und zum Vertuschen von Datenschutz- 
verstößen missbraucht werden. 


Zu $ 42 Strafantragserfordernis 


Zur Strafverfolgung von Datenschutz- 
verstößen bedarf es nach Abs. 3 eines 
Antrags. Antragsberechtigt sollen sein 
„die betroffene Person, der Verantwort- 
liche, die oder der Bundesbeauftragte 


und die Aufsichtsbehörde“. Damit sol- 
len strafbare Datenschutzverstöße wei- 
terhin kein Offizial-, sondern ein An- 
tragsdelikt sein, was der gesellschaftli- 
chen Bedeutung der Datenschutzdelikte 
nicht gerecht wird (Schulzki-Haddouti, 
Papiertiger, c't 10/2016, 162 ff.). 


Zu $ 43 Verhängung von Geldbu- 
Ben gegenüber öffentlichen Stellen 


Abs. 2 sieht vor, dass gegen Behör- 
den und öffentliche Stellen des Bundes 
keine Geldbußen verhängt werden. Mit 
der Regelung, die sich auf die Öffnungs- 
klausel des Art. 83 Abs. 7 DSGVO be- 
ruft, werden öffentliche Stellen von 
Bußgeldverfahren vollständig freige- 
stellt. Dies entspricht nicht den Intention 
der DSGVO und dem Ziel, die bestehen- 
den Vollzugsdefizite durch verbesserte 
Sanktionen — im öffentlichen wie im 
nicht-öffentlichen Bereich — abzubauen. 


Zu Teil 3 (88 45-84) Verarbeitung 
nach der JI-Richtlinie 


Zu den Regelungsvorschläge der $$ 45 
bis 84 wird aktuell keine Stellung ge- 
nommen. Eine spätere Bewertung bleibt 
vorbehalten. 


C Weitere gesetzliche Änderungen 


Zu Artikel 2 Änderung des Bundes- 
verfassungsschutzgesetzes 


In $ 13 Abs. 2 wird die Beschränkung 
der Verarbeitung (früher Sperrung) von 
Daten beim Bundesamt für Verfassungs- 
schutz geregelt. Gemäß S. 2 genügt es 
für die Verarbeitungsbeschränkung, 
dass die Daten „mit einem entsprechen- 
den Vermerk versehen“ werden. Dies 
gewährleistet nicht, dass keine weitere 
Nutzung dieser Daten erfolgt. Es muss 
sichergestellt werden, dass die verarbei- 
tungsbeschränkten Daten den Nutzen- 
den nicht mehr angezeigt werden und 
somit auch nicht unerkannt und evtl. gar 
unbewusst bei der Aufgabenwahrneh- 
mung verwendet werden. 

In $ 26a Abs. 2 ist vorgesehen, die 
Datenschutzkontrolle der BfDI auszu- 
schließen, „soweit die Einhaltung von 
Vorschriften der Kontrolle durch die 
G 10-Kommission unterliegt“. In der 
Vergangenheit hat sich gezeigt, dass 
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die Datenschutzkontrolle der bundes- 
deutschen Geheimdienste, anders als 
in der Begründung (S. 133) behauptet, 
unzureichend ist. Ein Grund hierfür 
liegt darin, dass die Tätigkeit der G-10- 
Kommission und die Kontrolle durch 
die BfDI sich gegenseitig ausschlie- 
Ben, obwohl in tatsächlicher wie auch 
in rechtlicher Hinsicht Überschneidun- 
gen bestehen. Die Kontrolle durch die 
G 10-Kommission und die der BfDI 
unterscheiden sich sowohl hinsichtlich 
der Methode wie auch der Fragestel- 
lung. Es ist daher gerechtfertigt, sich 
überschneidende Kontrollen zuzulassen. 
Hierdurch wird auch vermieden, dass 
z. B. durch Zuordnungsprobleme kon- 
trollfreie Räume entstehen. Entgegen 
der Gesetzesbegründung ist die Rege- 
lung nicht geeignet, die bisher aufge- 
tretenen Kontrolllücken zu beseitigen. 
Es ist nicht erkennbar, weshalb, wie in 
der Begründung aufgeführt, zwischen 
der G 10-Kommission und der BfDI 
konträre Ergebnisse entstehen können 
sollen. Selbst wenn dies der Fall wäre, 
bestünde insofern kein „Risiko“, son- 
dern allenfalls die Chance einer zweiten 
Meinung, zumal weder der BfDI noch 
der G 10-Kommission exekutive Durch- 
griffsrechte zugestanden werden. 

In $ 27 Abs. 1 ist vorgesehen, dass 
$ 16 Abs. 1 des neuen BDSG nicht gel- 
ten soll, welcher der BfDI bei Feststel- 
lung von Datenschutzverstößen Unter- 
suchungs- und Abhilfebefugnisse gemäß 
der DSGVO zugesteht, nachdem eine 
umfassende Anhörung stattgefunden hat. 
Es ist nicht erkennbar, weshalb diese Re- 
gelung, mit der die Abstellung von Da- 
tenschutzverstößen sicherstellen soll, 
für nicht anwendbar erklärt wird. 


Zu Artikel 7 - Änderung des aktu- 
ellen Bundesdatenschutzgesetzes 


& 42b - Antrag der Aufsichtsbehör- 
de auf gerichtliche Überprüfung 
von Angemessenheitsbeschlüssen 
der EU-Kommission 


Es ist zu begrüßen, dass diese Rege- 
lung als eigenständige Änderung in das 
bisherige BDSG-alt eingefügt werden 
soll (siehe Art. 8 - Inkrafttreten/Außer- 
krafttreten) und am Tag nach der Ver- 
kündung dieses Gesetzes — und nicht 
erst am 25.05.2018 - in Kraft treten soll. 
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D Weiterer dringender Änderungs- 
bedarf beim Datenschutzrecht 


Der Entwurf behandelt einige Berei- 
che des Datenschutzes nicht, die drin- 
gend einer Regelung bedürfen. 

Abgesehen von den schon genannten 
Themen des Beschäftigtendatenschut- 
zes sowie des Datenschutzes im Bereich 
der Forschung gilt dies insbesondere 
für eine Regulierung der Auftragsdaten- 
verarbeitung von Berufsgeheimnissen 
unterliegenden Verantwortlichen. IT- 
Dienstleister, die z. B. Anwalts- oder 
Arztpraxissysteme administrieren oder 
hochkomplexe IT-Systeme in Kranken- 
häusern oder medizinischen Laboren 
verwalten, genießen bisher nicht den 
in der StPO gesicherten Vertraulich- 
keitsschutz und unterliegen nicht der 
straf- und standesrechtlichen Schwei- 
gepflicht. Dies hat zur Folge, dass Be- 
rufsgeheimnisträger diesem Personen- 
kreis bisher nach dem derzeit geltenden 
Recht keinen Zugang zu Patienten- oder 
Klientendaten gewähren dürfen. Die- 
ses Defizit wird (noch nicht bzgl. des 
strafprozessualen Schutzes) durch einen 
Referentenentwurf eines „Gesetzes zur 
Neuregelung des Schutzes von Geheim- 
nissen bei der Mitwirkung Dritter an der 
Berufsausübung _schweigepflichtiger 
Personen“, den das Bundesministerium 
für Justiz und Verbraucherschutz am 
15.12.2016 vorlegte (teilweise) besei- 
tigt. Es wird dringend geraten, diesen 
Entwurf beschleunigt zu bearbeiten 
und gemeinsam mit dem Umsetzungs- 
gesetz zur DSGVO zu behandeln und 
zu verabschieden (http://www.bmjv. 
de/SharedDocs/Gesetzgebungsverfah 
ren/Dokumente/RefE_Neuregelung_ 
Schutzes_von_Geheimnissen_bei_ 
Mitwirkung Dritter_an_der _Berufsaus 
uebung_ schweigepflichtiger_Personen. 
pdf;jsessionid=BB2D9IIEOFCOT7OF2 
722D3C358448A65F6.1_ cid324?__ 
blob=publicationFile&v=1). 

In der DSGVO und in der Folge auch 
im nationalen Umsetzungsgesetz besteht 
zudem ein großes datenschutzrechtli- 
ches Defizit darin, dass als Adressaten 
der Normen lediglich Verantwortliche 
und Auftragsverarbeiter benannt wer- 
den, nicht aber Hersteller bzw. An- 
bieter von IT-Produkten (Hard- und 
Software), mit denen personenbezogene 
Daten verarbeitet werden. Tatsächlich 


beruhen viele Gefährdungen und Beein- 
trächtigungen des Rechts auf informa- 
tionelle Selbstbestimmung darauf, dass 
Verantwortliche oder Auftragsverarbei- 
ter IT-Produkte einsetzen, die nicht den 
Anforderungen der DSGVO (zZ. B. der 
Art. 25, 32) genügen bzw. genügen kön- 
nen. In Ermangelung einer hinreichen- 
den Kontrolle oder von technischen Ein- 
flussmöglichkeiten ist dies Verantwortli- 
chen bzw. Auftragsverarbeitern oft nicht 
bewusst oder für diese nicht korrigierbar. 
Vorgegebene _Verarbeitungsvorgänge, 
etwa in Form von Online-Formularen 
oder voreingestellten Datenweiterleitun- 
gen, sind oft weder hinreichend doku- 
mentiert noch durch die (formalrechtlich 
verantwortlichen) Nutzenden beein- 
flussbar. Die ungenügende Umsetzung 
von Privacy by Default und Privacy by 
Design (vgl. auch Art. 25 DSGVO) oder 
generell unterlassene Maßnahmen zur 
Erhöhung der IT-Sicherheit durch die 
Hersteller führen oft dazu, dass nötige 
technisch-organisatorische Maßnahmen 
unterbleiben oder materiell-rechtliche 
Verstöße vorgegeben werden. 

Ein modernes Datenschutzgesetz 
muss daher — ähnlich wie eine Adressie- 
rung von Straßenverkehrsvorschriften 
an die Kfz-Hersteller — auch die Her- 
steller und Anbieter von IT-Produkten, 
die der personenbezogenen Datenverar- 
beitung dienen, einbeziehen. Dies kann 
auch in der Form erfolgen, dass diesen, 
z. B. über Anforderungen an die Daten- 
schutz-Folgenabschätzung, bestimmte 
verpflichtende Datenschutzstandards 
präventiv wirkend vorgegeben werden 
oder dadurch, dass diesen im Fall da- 
tenschutzwidriger Produkte Haftungs- 
risiken auferlegt werden. Die bisher 
vorgesehenen freiwilligen Zertifizierun- 
gen, die auf eine Selbstregulierung des 
Marktes setzen, genügen nicht, um die 
systematische Verbreitung von Daten- 
schutzverstößen einzudämmen. 


Dr. Thilo Weichert (Vorstandsmitglied 
der Deutschen Vereinigung für Daten- 
schutz e.V.) 


Frank Spaeing (Vorsitzender der Deut- 
schen Vereinigung für Datenschutz e.V.) 


Werner Hülsmann (stellv. Vorsitzender 


der Deutschen Vereinigung für Daten- 
schutz e.V.) 
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Pressemitteilung der Deutschen Vereinigung für 
Datenschutz e. V. (DVD) 


DVD: „Kein gläserner Zahlungsverkehr zwecks 
Terrorismusbekämpfung‘ 


Presseerklärung vom 11.01.2017 


Die Deutsche Vereinigung für Daten- 
schutz (DVD) wendet sich gegen die 
Pläne der Europäischen Union, sämt- 
liche Online-Finanztransaktionen nur 
noch nach Identifizierung des Kontoin- 
habers oder der Kontoinhaberin zuzu- 
lassen. Die Zahlung mit anonymen Pre- 
paid-Karten am Point of Sale, also vor 
Ort im Geschäft, soll künftig nur noch 
bis maximal 150 € erlaubt sein, statt 
bisher 250 €. Dies ist in einer 5. Geld- 
wäsche-Richtlinie vorgesehen, die von 
der EU-Kommission am 5. Juli 2016 
vorgestellt und am 21. Dezember 2016 
vom EU-Rat mit kleinen Änderungen 
bestätigt wurde. Begründet wird diese 
Initiative mit der Bekämpfung von Ter- 
rorismusfinanzierung und Geldwäsche. 

Damit wird eine nach Ansicht der 
DVD nicht akzeptable Rundumüberwa- 
chung unschuldiger und unverdächtiger 


Menschen unter dem Vorwand der Be- 
kämpfung des Terrorismus weiter vor- 
angetrieben. 
DVD-Vorstandsvorsitzender Frank 
Spaeing: „Nach dem Beschluss der Vor- 
ratsdatenspeicherung von Telekommu- 
nikationsdaten im Jahr 2015, nach dem 
Verbot anonymer SIM-Karten für die 
Mobilkommunikation und der geplanten 
massiven Ausweitung der Videoüber- 
wachung im öffentlichen Raum wird 
mit der EU-Richtlinie die Ausleuchtung 
weiterer Aspekte unseres Alltagslebens 
vorangetrieben: Konsum und Zahlungs- 
verkehr, welcher durch uns immer mehr 
digital und über das Internet erfolgt. 
Damit sind die Überwachungsbegehr- 
lichkeiten noch nicht am Ende, wie wir 
aus Belgien wissen, wo die grenzüber- 
schreitende Nutzung öffentlicher Ver- 
kehrsmittel nur noch zugelassen werden 
soll, nachdem man sich identifiziert hat. 
Politik, die meint, damit Terrorismus be- 


kämpfen zu können, hat über dessen Ur- 
sachen wenig nachgedacht und ist blind 
für unsere Grundrechte“. 

Der stellvertretende Vorsitzende der 
DVD, Werner Hülsmann, ergänzt: „Vor 
wenigen Tagen hat der Europäische 
Gerichtshof klargemacht, dass eine 
verdachtslose Totalüberwachung der 
Menschen grundrechtswidrig ist. Die 
vorgeschlagenen Maßnahmen sind Was- 
ser auf die Mühlen von Terroristen, die 
unsere freiheitliche Gesellschaft in ein 
immer autoritäreres Fahrwasser treiben. 
Erschreckend ist, dass sich viele Politi- 
ker nicht nur in Berlin, sondern auch in 
Brüssel hierbei instrumentalisieren las- 
sen.“ 

Die DVD fordert den umgehenden 
Stopp der weiteren Gesetzgebung und 
eine auf Fakten basierende rationale öf- 
fentliche Diskussion über die möglichen 
Maßnahmen zur Bekämpfung von Geld- 
wäsche und Terrorfinanzierung. 


Pressemitteilung des Netzwerks Datenschutzexpertise vom 11.01.2017 


„Anonymität des elektronischen Zahlungsverkehrs 
muss erhalten bleiben” 


Netzwerk Datenschutzexpertise fordert Gesetzgebungs-Stopp bei der 5. Geldwäsche-Richtlinie 


Die 5. Geldwäsche-Richtlinie der Eu- 
ropäischen Union (EU) soll unter ande- 
rem anonyme Online-Zahlungen in der 
EU verbieten, die Grenze bei Transak- 
tionen mit anonymen Prepaid-Karten 
auf 150 Euro herabsetzen und sämtliche 
Transaktionsdaten bei Finanzdienstleis- 
tern mindestens fünf Jahre speichern 
lassen. Die EU-Kommission will mit der 
vom Rat der EU am 21.12.2016 weitge- 
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hend bestätigten Richtlinie Geldwäsche 
und Terrorismusfinanzierung bekämp- 
fen. Die Finanzdienstleister werden 
verpflichtet, die gespeicherten Trans- 
aktionsdaten bei Bedarf einer Finanz- 
kontrollbehörde (Financial Intelligence 
Unit) bereitzustellen. Über den Aufbau 
eines Registers oder eines zentralen Da- 
tenabrufsystems, mit dem die Nutzer 
von Konten online identifiziert werden 


können, sollen die Zahlungen einzelnen 
Nutzern zugeordnet werden können. 
Ein Gutachten des Netzwerks Da- 
tenschutzexpertise hierzu kommt zum 
Ergebnis, dass die Planungen gegen ele- 
mentare Grundrechte auf Datenschutz, 
auf unbeobachtete Kommunikation und 
auf Eigentum verstoßen. Denn eine Ver- 
hältnismäßigkeitsprüfung — wie vom 
Europäischen Gerichtshof (EuGH) und 
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vom Bundesverfassungsgericht gefor- 
dert — wird nicht vorgenommen. Rechtli- 
che oder prozedurale Vorkehrungen sind 
nicht vorgesehen. Undifferenziert sollen 
sämtliche elektronischen Zahlungsvor- 
gänge mit einer Identifizierungspflicht 
belegt werden. Das Netzwerk Daten- 
schutzexpertise fordert angesichts die- 
ser Situation einen sofortigen Stopp der 
weiteren Gesetzgebung, eine umfassen- 
de Grundrechtsanalyse und eine inten- 
sive öffentliche Debatte über die Pläne. 
Ute Bernhardt vom Netzwerk Daten- 
schutzexpertise: „Nach der Vorratsda- 
tenspeicherung von Fluggastdaten und 
den Kommunikations- und Bewegungs- 


profilen durch die Vorratsdatenspeiche- 
rung von Kommunikationsverbindun- 
gen sollen nun durch die Speicherung al- 
ler Daten von elektronischen Geldtrans- 
fers präzise Interessen-, Konsum- und 
Bewegungsprofile der gesamten EU- 
Bevölkerung gesammelt werden. Bele- 
ge, dass Geldwäsche und Terrorismus 
über die Analyse von Bagatelltransfers 
aufgeklärt werden, gibt es nicht. Dafür 
ist klar, dass die EU-Kommission mit 
der neuen Richtlinie ihren im April 2016 
beschlossenen „Gemeinsamen Rahmen 
für die Abwehr hybrider Bedrohungen“ 
umsetzt. Der formuliert das Ziel, nicht 
nur die Finanzierung des Terrorismus 


Jetzt DVD-Mitglied werden: 


zu verfolgen, sondern auch die Finan- 
zierung politischer „Interessengruppen 
oder Parteien am politischen Rand“. Die 
Geldwäsche-Richtlinie steht damit in ei- 
nem viel größeren politischen Rahmen.“ 

Thilo Weichert vom Netzwerk Daten- 
schutzexpertise: „Die Menschen haben 
einen generellen Anspruch auf Anony- 
mität finanzieller Transaktionen. Dieses 
Recht darf nur eingeschränkt werden, 
wenn hierfür eine normenklare und 
verhältnismäßige Regelung besteht, die 
Vorkehrungen zum Schutz der Grund- 
rechte enthält. In seinem jüngsten Urteil 
zur Vorratsdatenspeicherung von Tele- 
kommunikationsdaten vom 19.12.2016 
hat der EuGH klar gemacht, dass eine 
anlasslose langfristige und undiffe- 
renzierte Speicherung von Daten über 
Alltagsaktivitäten unzulässig ist. Diese 
Ausführungen zur Telekommunikati- 
on lassen sich auf Finanztransaktionen 
übertragen. Das bisher unter dem Radar 
der öffentlichen Wahrnehmung durch- 
gezogene Gesetzgebungsverfahren 
wurde initiiert, noch bevor die 4. Geld- 
wäsche-Richtlinie in nationales Gesetz 
umgesetzt war und damit Erfahrungen 
gesammelt werden konnten. Es ist uns 
vollkommen unverständlich, dass dieses 
europarechts- und verfassungswidri- 
ge Vorhaben bisher weitgehend unbe- 
anstandet den EU-Rat, den deutschen 
Bundesrat und die deutsche Bundesre- 
gierung passiert hat.“ 


Das ausführliche Gutachten des Netz- 
werks Datenschutzexpertise ist im Inter- 
net abzurufen unter: 


www.datenschutzverein.de 
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Pressemitteilung der Deutschen Vereinigung für 
Datenschutz e. V. (DVD) 


DVD zum Datenschutz-Kabinettsbeschluss: Keine 
Verwässung, sondern Umsetzung der Datenschutz- 
Grundverordnung ist nötig 


Die Deutsche Vereinigung für Daten- 
schutz e. V. (DVD) sieht gewaltigen Än- 
derungsbedarf in Bezug auf den heute im 
Bundeskabinett beschlossenen Entwurf 
eines Umsetzungsgesetzes zur Europä- 
ischen Datenschutz-Grundverordnung, 
die im Mai 2016 in Kraft trat und vom 
25.05.2018 an das bisherige Bundesda- 
tenschutzgesetz (BDSG) ablöst. 

Der Kabinettsbeschluss verkehrt da- 
bei viele europäische Regelungen in ihr 
Gegenteil und lässt mit seinen General- 
klauseln Anwender, Betroffene und Auf- 
sichtsbehörden im Ungewissen. Er ver- 
stößt in einigen wesentlichen Punkten, 
etwa bei den Auskunfts- und Transpa- 
renzrechten der Betroffenen oder bei der 
Beeinträchtigung der unabhängigen Da- 
tenschutzkontrolle, gegen das in Artikel 8 
der Europäischen Grundrechte-Charta 
garantierte Grundrecht auf Datenschutz. 

Die Kritik der DVD bezieht sich u. a. 
auf folgende Punkte: 


Die geplante Regelung zur Videoüber- 
wachung mit der Vorrangregelung für 
öffentliche Sicherheitsbelange ist eu- 
ropa- und verfassungswidrig. 

Die Regelung zur Bestellung der Bun- 
desbeauftragten für den Datenschutz 


DD u 


7890908072D 


und die Informationsfreiheit (BfDI) 
verstößt hinsichtlich der geforderten 
Transparenz und den personellen An- 
forderungen gegen die europarechtli- 
chen Vorgaben. 

- Die eingeschränkten Kontroll- und 

Sanktionsmöglichkeiten der BfDI im 

öffentlichen und insbesondere im Si- 

cherheitsbereich untergraben insofern 
die Effektivität der Datenschutzaufsicht. 

Die Regelungen zur Vertretung der 

Aufsichtsbehörden der Länder im Eu- 

ropäischen Datenschutzausschuss be- 

einträchtigen deren Unabhängigkeit. 

Die Einschränkung der Kontrollbe- 

fugnisse der Datenschutzaufsicht im 

Bereich der Berufsgeheimnisse ist 

nicht akzeptabel. 

Die Möglichkeiten zur Verweigerung 

von Auskünften an Betroffene sind zu 

unbestimmt und zu weitgehend. 

- Es verbleiben große Regelungsdefizite 
in Bezug auf die Datenverarbeitung in 
Beschäftigungsverhältnissen, der For- 
schung, der Beauftragung von IT-Dienst- 
leistern sowie des Angebots von Herstel- 
lern und Anbietern von IT-Produkten. 


Frank Spaeing, Vorsitzender der 
Deutschen Vereinigung für Daten- 


schutz: „Es verwundert schon sehr, dass 
die Bundesregierung zunächst über 
Jahre hinweg eine verbindliche euro- 
päische Regelung bekämpfte, mit dem 
Argument, das hohe deutsche Daten- 
schutzniveau dürfe nicht gesenkt wer- 
den, und nun, nachdem wir ein hohes 
europäisches Datenschutzniveau ha- 
ben, alles tut, um dessen Niveau durch 
nationale Regelungen zu senken.“ 

Werner Hülsmann, stellv. Vorsitzen- 
der der DVD: „Der Kabinettsbeschluss 
ist wirtschafts-, fortschritts- und betrof- 
fenenfeindlich. Statt Rechtssicherheit 
zu schaffen, provoziert er bei allen Be- 
teiligten Verunsicherung und Gesetzes- 
verstöße. Deutschland darf nicht zum 
Bremser beim europäischen Daten- 
schutz und zum schlechten Vorbild für 
andere Staaten werden.“ 

Thilo Weichert, Mitglied des DVD- 
Vorstands: „Der Entwurf verstößt gegen 
europäisches Recht und die deutsche 
Verfassung. Der Bundestag muss jetzt die 
Herkulesaufgabe bewältigen, aus einem 
verkorksten, rückwärtsgewandten Regie- 
rungsentwurf bis zum Ende der Legisla- 
turperiode ein Gesetz zu machen, das den 
modernen Anforderungen des digitalen 
Grundrechtsschutzes genügt.“ 


3456034296D 
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Pressemitteilung der Deutschen Vereinigung für 


Datenschutz e. V. (DVD) 


Datenschutzvereinigung begrüßt Vorgehen gegen 
„sprechende Puppe" 


Am 17.02.2017 verkündete die Bun- 
desnetzagentur, dass sie gegen die spre- 
chende Kinderpuppe „Cayla“ vorgeht 
und diese aus dem Verkehr zu ziehen 
versucht. Sie rief Eltern auf, die „Puppe 
unschädlich (zu) machen“. Die Deut- 
sche Vereinigung für Datenschutz e. V. 
(DVD) begrüßt diese Aktion: Der Scha- 
den dieser Puppe besteht darin, dass un- 
erkannt das im Raum gesprochene Wort 
erfasst und per funkfähige Sendeanlage 
an einen Provider gesendet wird, was 
nichts anderes ist als ein unerlaubter 
Lauschangriff nach $ 201 Strafgesetz- 
buch und damit eine strafbare Spionage. 
Was mit den Aufzeichnungen passiert, 
weiß keiner der Nutzer. 

Die Kinderpuppe ist aber nur ein der- 
artiges Produkt; vergleichbar sind die 
Sprachassistenten, heißen sie nun Siri, 
Alexa, Cortana oder anders, wie sie in 
Smartphones, Computer, Lautsprecher 
oder Fernsehgeräten verbaut sind. Die 
Initiierung der Aufnahmen kann unab- 
sichtlich erfolgen. Nicht eingeweihte 


"Wie nennt man 
ein junges 
Pferd? 


Dritte werden derart in jedem Fall um 
Vertraulichkeitserwartungen betrogen. 
Die DVD erkennt, dass derartige „Hel- 
ferlein“ bei korrekter Verwendung nütz- 
lich sein können, weist aber zugleich auf 
die damit verbundenen Gefahren hin: 
Ihr Einsatz setzt umfassende Informiert- 
heit aller Anwesenden und echte Wahl- 
freiheit voraus. D.h. ist auch nur ein 
Gesprächspartner mit der Nutzung eines 
solchen Tools nicht einverstanden, dann 
muss es effektiv abgeschaltet werden. 
DVD-Vorstandsmitglied Thilo Wei- 
chert: „In der Praxis haben wir derzeit 
noch einen gewaltigen Wildwuchs. Die 
Initiative der Bundesnetzagentur sollte 
ein Startschuss dafür sein, diesen ein- 
zuhegen. Unabdingbare Voraussetzung 
für Produkte mit akustisch initiierbarer 
Sprachübertragungen und -aufzeichnun- 
gen muss es sein, dass in der Produktbe- 
schreibung der rechtliche Rahmen und 
die Risiken dargestellt werden und dass 
technisch-organisatorische Sicherungs- 
maßnahmen obligatorisch werden. Dazu 


Kostenions App herunterladen 


www later unwgr 


ve 


“ram a rem 


Was kann ich alles mit Cayla machen? 


Screenshot Webseite: http://myfriendcayla.de/ 
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gehört, dass allen räumlich Anwesen- 
den technisch unzweideutig erkennbar 
gemacht wird, dass eine Sprachübertra- 
gung stattfindet.“ 


Der Vorsitzende der DVD Frank 
Spaeing ergänzt: „Für die Betroffenen 
ist nicht erkennbar, was mit derartigen 
Sprachaufzeichnungen passiert. In rea- 
listischen Fällen landen diese Informa- 
tionen bei der US-amerikanischen NSA 
oder bei der heimischen Polizei. Effekt 
davon kann es sein, dass einem die Ein- 
reise in die USA verweigert wird oder 
plötzlich Strafverfolger zwecks einer 
Hausdurchsuchung vor der Tür stehen.“ 


Die Mitteilung der Bundesnetzagentur 
findet sich unter: 


https://www.bundesnetzagentur.de/ 
SharedDocs/Pressemitteilungen/ 
DE/2017/14012017_cayla.html 
Inn=265778 
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Datenschutznachrichten aus Deutschland 


Bund 


Puppe Cayla ist verbote- 
nes Spionagewerkzeug 


Eine blonde, blauäugige Puppe na- 
mens Cayla findet sich inzwischen in 
zahlreichen Kinderzimmern auch in 
Deutschland. Die Bundesnetzagentur hat 
jetzt festgestellt und bekannt gemacht, 
dass es sich dabei um eine „versteckte, 
sendefähige Anlage“ handelt, weshalb 
sie Anfang des Jahres 2017 verschiedene 
Verkaufsstellen aufgefordert, Cayla aus 
dem Angebot zu nehmen. Wer sie bereits 
besitzt, soll sie vernichten oder profes- 
sionell entsorgen. Weil der Besitz einer 
solchen Anlage strafbar ist, soll idealer- 
weise der entsprechende „Vernichtungs- 
nachweis“ einer „Abfallwirtschaftsstati- 
on“ an die Bundesnetzagentur geschickt 
werden. So können die Käufer nachwei- 
sen, dass sie nicht mehr im Besitz des 
Produkts sind. 

My Friend Cayla ist ein Produkt des 
britischen Spielzeugherstellers Genesis 
und wird von der Firma Vivid vertrieben. 
Es ist ein Smart Toy, also ein Spielzeug, 
das sich mit dem Internet verbinden 
kann. Die Puppe verfügt über ein Mikro- 
fon und einen Lautsprecher und kommu- 
niziert über Bluetooth mit einer Smart- 
phone-App. Leuchtet ihre Halskette, ist 
die Puppe online und Kinder können 
Fragen stellen, die Cayla anschließend 
versucht zu beantworten. 

Im Dezember warnte die europäische 
Verbraucherschutzorganisation BEUC 
vor Cayla und ähnlichen Produkten: 
„Die mit dem Internet verbundenen 
Spielzeuge My Friend Cayla und i-Que 
(ein weiteres Produkt des Herstellers, 
Anm. d. Red.) scheitern grundsätzlich in 
Sachen Sicherheit und Datenschutz“. So 
würden die aufgenommenen Sprachein- 
gaben nicht nur auf externen Servern ge- 
speichert und zu Werbezwecken genutzt. 
Es sei denkbar, dass sich Unbefugte Zu- 
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griff auf die Mikrofone der Spielzeuge 
verschaffen. 

Das fand unter anderem eine Untersu- 
chung der norwegischen Verbraucher- 
schutzbehörde Forbrukerradet heraus. 
In der Regel benötigt das erstmalige 
Verknüpfen zweier Bluetooth-Geräte 
(also etwa das Smartphone mit der Pup- 
pe) die Eingabe eines Sicherheitscodes. 
Im Fall von Cayla gibt es diese Über- 
prüfung nicht. Jeder, der im Empfangs- 
bereich der Puppe ist, kann sich somit 
über die App mit der Puppe verbinden. 
Anschließend sei es mit einem einfa- 
chen Trick möglich, das Mikrofon zu 
aktivieren — die Puppe würde somit zu 
einer Wanze werden. 

Der deutsche Jura-Student Stefan 
Hessel von der Universität Saarbrücken 
überprüfte auf eigene Initiative in einem 
Rechtsgutachten, inwieweit es sich bei 
Cayla um eine nach $ 90 Telekommu- 
nikationsgesetz (TKG) verbotene Sen- 
deanlage handelt: „Die Puppe vermittelt 
für sich genommen den Eindruck, dass 
es sich um ein gewöhnliches Kinder- 
spielzeug ohne technische Funktion han- 
delt“. Tatsächlich sei es aber möglich, 
auf das Mikrofon zuzugreifen, ohne dass 
die Puppe dies mit ihrem leuchtenden 
Schmuck anzeigt. Diese Sendeanlage 
würde „ihrer Form nach einen anderen 
Gegenstand vortäuschen“ bzw. ist als ein 
„Gegenstand des täglichen Gebrauchs“, 
weshalb die Einführung, der Besitz und 
die Verbreitung einer solchen Sendeanla- 
ge ist in Deutschland verboten sei. 

Cayla, die seit zwei Jahren auf dem 
Markt war, erfüllt diese Voraussetzun- 
gen. Weil die Übertragung per Funk 
stattfindet, sei sie eine Sendeanlage. 
Weil es für Dritte nicht ohne weiteres er- 
kenntlich ist, dass in ihrem Inneren ein 
Mikrofon steckt, liege eine Tarnung vor. 
Zudem sei sie zum heimlichen Abhören 
geeignet, auch wenn Hessel darauf hin- 
weist, dass die Frage nach der Zweckbe- 
stimmtheit einen gewissen Interpretati- 
onsspielraum lässt. 


Hessel legte seine Ergebnisse der Bun- 
desnetzagentur vor: „Von dort bekam ich 
Rückmeldung, dass man meine Auffas- 
sung teilt, und die Puppe verboten ist“. 
Am 24.01.2017 erklärte Jochen Hom- 
ann, Präsident der Bundesnetzagentur: 
„Wer die sprechende Puppe Cayla kennt, 
weiß, dass diese Form der Alltagsspio- 
nage schon in die Kinderzimmer vorge- 
drungen ist.‘“ Deshalb versucht die Bun- 
desnetzagentur jetzt, Cayla „aus dem 
Verkehr zu ziehen“ und fordert die Be- 
sitzer auf, die Puppe zu zerstören. Es sei 
strafbar, eine getarnte Abhöranlage zu 
besitzen. Die Bundesnetzagentur bittet 
darum, den „Vernichtungsnachweis“ auf 
ihrer Webseite anzufüllen, so ein Spre- 
cher: „Wir haben aber nicht vor, Verwal- 
tungsverfahren gegen Konsumenten zu 
starten. Staatsanwälte könnten allerdings 
aktiv werden, wie 10 Jahre zuvor wegen 
der „Teddycam“, die in Plüschbären ein- 
gebaut war. Der Homeshopping-Sender, 
der sie vertrieb, musste einen Rückruf 
starten. Wer dem nicht folgte, wurde mit 
einer strafrechtlichen Ermittlung kon- 
frontiert. 

Der Hersteller Vivid widersprach der 
rechtlichen Bewertung: „My Friend Ca- 
yla verstößt in keiner Weise gegen Para- 
graph 90 TKG. Der verlangt, wie auch 
die Gesetzesbegründung klarstellt, für 
einen Verstoß neben anderen Vorausset- 
zungen ausdrücklich, dass das betref- 
fende Gerät in besonderer Weise dazu 
bestimmt ist, das nichtöffentlich gespro- 
chene Wort unbemerkt abzuhören“. Dies 
sei im Fall der Puppe nicht gegeben, 
die Auffassung der Bundesnetzagentur 
sei somit nicht haltbar. Es gebe keinen 
Grund, die Puppe zu zerstören weil es 
sich nicht um ein „Spionagegerät“ han- 
delt. Vivid will die Fragestellung „ge- 
richtlich prüfen lassen“. 

Gebaut wird Cayla vom Unternehmen 
Genesis. Die Tonaufnahmen landen auf 
den Servern des US-Konzerns Nuance 
Communications. Der sammelt und ana- 
lysiert millionenfach Stimmprofile als 
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„biometrische Fingerabdrücke“. Wird 
Cayla eine Frage gestellt, so sucht die 
Software eine Antwort und filtert „un- 
anständige Worte“ aus. Nuance bietet 
seine Dienste auch dem Militär und 
Geheimdiensten an. Es ist zudem nicht 
nur die Sprachspionage, die aus Daten- 
schutzsicht nicht akzeptabel ist. Gemäß 
IT-Anwalt Peter Hense fragt Caylas 
App „unglaublich viele Daten“ ab, in- 
klusive Adressbuch des Smartphones. 
Es gibt keine Datenschutzerklärung, 
die auf die Spracherkennungsbiometrie 
hinweist. 

Cayla ist nicht allein. 2015 gewann 
die Puppe „Hello Barbie“ von Mat- 
tell in Deutschland einen Big Brother 
Award (BBA). Der BBA-Negativpreis 
wird jährlich für Personen und Produk- 
te verliehen, die gegen den Datenschutz 
verstoßen oder rücksichtslos Daten 
sammeln. Im Fall der Barbie-Puppe 
kritisierten die Datenschützer, dass alle 
Sprachaufnahmen an die Server eines 
Unternehmens weitergeleitet wurden 
(DANA 2/2015, 97). Anders als bei Bar- 
bie müssen die Kinder bei Cayla für das 
Gespräch keinen Knopf drücken und 
gedrückt halten. Der Sicherheitsforscher 
Linus Neumann sagte, Kinder würden 
somit schon von klein auf mit der Ab- 
schöpfung von Daten konfrontiert. 

Ebenfalls 2015 sind Hacker in die 
Server des asiatischen Unternehmens 
VTech eingedrungen, das vernetztes 
Spielzeug und Lerncomputer herstellt. 
Dort fanden sie persönliche Daten von 
Kindern und Eltern sowie 190 Gigabyte 
Fotos und gespeicherte Chats. Die Ha- 
cker veröffentlichten die abgeschöpften 
Daten nicht. Der Angriff sollte bloß als 
Warnung dienen. Der Fall von VTech 
zeigte, dass Hersteller smarter Geräte 
offenbar nicht oder nur schlecht die Da- 
ten ihrer Nutzer schützen. In der Bran- 
che des Internet der Dinge (loT) gibt es 
immer wieder Berichte über schlecht 
gesicherte Kameras und Haushaltsgerä- 
te. Die Hersteller haben häufig andere 
Prioritäten als IT-Sicherheit oder Ver- 
schlüsselung. Es fehlt an Standards und 
Richtlinien, die es einzuhalten gilt. 

Vor allem Eltern, die ihren Kindern 
Smart Toys kaufen, sollten stets genau 
auf die Sicherheitsvorkehrungen ach- 
ten und die Datenschutzrichtlinien le- 
sen. Sie sollten sich bewusst machen, 
dass die Daten — wenn schon nicht von 
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Angreifern abgegriffen — dann doch zu- 
mindest an Server des Unternehmens 
übertragen werden könnten. Eine sol- 
che Puppe erfasst ja nicht nur die Ge- 
spräche mit dem Kind, sondern auch 
die der Eltern (Kühl, My Friend Cayla: 
Vernichten Sie diese Puppe, www.zeit. 
de 17.02.2017; Brühl, Die Spionin, SZ 
18./19.02.2017, 12). 


Bund 


„Gesellschaft für Frei- 
heitsrechte“ gegründet 


JuristInnen und BürgerrechtlerInnen 
haben die „Gesellschaft für Freiheits- 
rechte“ (GFF, www.freiheitsrechte.org) 
gegründet, die sich in den Bereichen 
Privatsphäre, Datenschutz und Informati- 
onsfreiheit für die Grundrechte der Men- 
schen einsetzen möchte. 

UIf Buermeyer, Richter am Landge- 
richt Berlin und bekannt als Verteidiger 
von Bürgerrechten, hat sich mit weiteren 
MitstreiterInnen, z. B. auch den lang- 
jährigen Grünenpolitiker Malte Spitz, 
zusammengetan, um künftig Klagen zur 
Stärkung der Grundrechte in den Berei- 
chen Privatsphäre, Datenschutz, Informa- 
tions- und Pressefreiheit zu organisieren. 
Buermeyer spricht in dem Zusammen- 
hang von „Verfassungspatriotismus“. 

Die Organisation von Klagen, ohne 
selbst Kläger zu sein, also „strategisches 
Klagen“, ist für Deutschland bisher eher 
ungewöhnlich. In Amerika ist dieses Vor- 
gehen verbreitet, bekannt durch Organi- 
sationen wie die American Civil Liberties 
Union, eine Bürgerrechtsorganisation. 
Ähnlich wie das amerikanische Vorbild 
wird die GFF die Kosten der Kläger de- 
cken, aber kein Geld dafür bezahlen, dass 
eine Klage entsteht. Buermeyer nennt das 
Prinzip „eine Rechtschutzversicherung 
für das Grundgesetz‘. Man stelle sicher, 
dass Expertise und Geld vorhanden sei- 
en, um die „Freiheitsrechte zu verteidi- 
gen.“ Zur Expertise gehört auch, dass die 
JuristInnen explizit „bessere Klagen“ zu- 
sammenstellen wollen. Es geht also nicht 
darum, Karlsruhe zu überlasten, sondern 
mit klug formulierten Klagen Politik zu- 
gunsten der BürgerInnen zu beeinflussen. 
Bei der GFF verspricht man sich, eine 
gewisse Nachdenklichkeit in den Parla- 
menten auszulösen, die sich mit entspre- 


chenden Gesetzen befassen. Sie soll sich 
einstellen, wenn die ersten Gesetze vom 
Bundesverfassungsgericht nach entspre- 
chenden Klagen aus den Angeln gehoben 
wurden. 

Zu den ersten Fällen der GFF gehört 
eine Verfassungsbeschwerde gegen das 
neue BND-Gesetz; außerdem unterstützt 
die Gesellschaft bereits Transparenzkla- 
gen nach dem Informationsfreiheitsge- 
setz, was dafür sorgen soll, dass Bürge- 
rInnen und JournalistInnen problemloser 
an öffentliche Informationen gelangen 
können. Wenigstens jetzt, zu Beginn der 
Arbeit, will sich die Gesellschaft aus- 
schließlich um staatliche Attacken auf die 
Grundrechte kümmern. Private Akteure, 
wie Google oder Facebook, stehen für 
die GFF vorläufig nicht im Fokus. 

Unter den einfachen Mitgliedern der 
GFF, die sich aus Spenden finanzieren 
soll, finden sich weitere bekannte Ju- 
risten und Aktivisten. Eng verwoben ist 
der Verein zum Beispiel mit netzpolitik. 
org, der Internetseite, auf der seit Jahren 
kompetent über die Verletzung digitaler 
Bürgerrechte berichtet wird. Der Gründer 
von Netzpolitik, Markus Beckedahl, ist 
Mitglied der GFF. Weitere Partner sind 
Amnesty International, der Chaos Com- 
puter Club und Reporter ohne Grenzen 
(Boie, Aus Liebe zum Grundgesetz, SZ 
11.11.2016, 12). 


Bund 


Arne Schlatmann ist 
erster Geheimdienstbe- 
auftragter 


Der Jurist Arne Schlatmann, 52, wird 
der erste Geheimdienstbeauftragte des 
Bundestages. Am 14.12.2016 haben 
ihn die SPD- und Unions-Mitglieder im 
Gremium dazu gewählt, am 10.01.2017 
hat er das neu geschaffene Amt für fünf 
Jahre angetreten. Seine Aufgabe besteht 
in der stetigen hauptamtlichen Kontrolle 
der Geheimdienste des Bundes. Er soll 
dafür einen Stab von 20 Mitarbeitern be- 
kommen und den Abgeordneten im Par- 
lamentarischen Kontroll-Gremium des 
Bundestages zuarbeiten. 

Die Opposition hätte dafür gern einen 
Richter berufen, einen unabhängigen 
Geist mit klarer Distanz zum Sicher- 
heitsapparat. Dem entspricht das CDU- 
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Mitglieds Schlatmann eher nicht. In 23 
Berufsjahren hat er fast nie das Bundes- 
innenministerium verlassen. Er war im 
Leitungsstab bei den Ministern Schäub- 
le und de Maiziere, dann Büroleiter bei 
Hans-Peter Friedrich. Der heutige Chef 
des Bundesnachrichtendienstes Bruno 
Kahl war einst sein Vorgesetzter. Der 
heutige Chef des Bundesamts für Ver- 
fassungsschutz Hans-Georg Maaßen war 
lange sein Kollege. 

Schlatmann soll sich einen Ruf als 
gründlicher Arbeiter erworben haben, der 
keine Profilierung sucht. Lange betreute 
er das Thema Verwaltungsverfahrens- 
recht. Schlatmann will die Arbeit der Ge- 
heimdienste, so sagt er, konstruktiv be- 
gleiten: Wenn sich an irgendeiner Stelle 
zeigen sollte, dass es ihnen an Geld oder 
Befugnissen fehle, dann seien auch dies 
Missstände, für deren Behebung sich ein 
Kontrolleur einsetzen könne (Steinke, 
Arne Schlatmann, SZ 16.12.2016, 4). 


Bund 


Zunehmend Verbraucher- 
beschwerden bei Telefon- 
werbung 


Die Bundesnetzagentur, die oberste 
Aufsichtsbehörde über den Telekom- 
munikationsmarkt in Bonn, verzeich- 
nete 2016 mehr Kundenbeschwerden 
als je zuvor, wobei unerlaubte Telefon- 
werbung eine große Rolle spielte. Im 
Jahr 2016 sind pro Monat im Schnitt 
18.000 Verbraucheranfragen und -be- 
schwerden eingegangen und damit erst- 
malig im Jahr auf 220.000 gestiegen 
(2015: 200.000). Rund 3.000 Telefon- 
nummern wurden wegen unerlaubter 
Werbung abgeschaltet und Bußgelder 
von mehr als 800.000 € verhängt. Der 
Präsident der Bundesnetzagentur Jo- 
chen Homann erklärte: „Wir nutzen un- 
sere Befugnisse konsequent aus“. Ver- 
besserungen registrierte die Behörde 
2016 beim Anbieterwechsel. In 2.700 
Fälle habe sich die Bundesnetzagentur 
eingeschaltet, weil es bei einem Wech- 
sel zur Versorgungsunterbrechung ge- 
kommen war. Ein Jahr zuvor lag die 
Zahl noch doppelt so hoch (Kramer, 
Mehr Verbraucherbeschwerden bei 
Bundesnetzagentur 2016, www.heise. 
de 28.12.2016). 
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Bund 


Initiative zur Verein- 
fachung von 
Datenschutzerklärungen 


Das Bundesministerium für Justiz 
und Verbraucherschutz (BMJV) und 
der Online-Modehändler Zalando ha- 
ben ein Werkzeug entwickelt, mit dem 
Betreiber von Webseiten kurze, ver- 
ständliche Zusammenfassungen von 
komplizierten Datenschutzbestim- 
mungen erstellen können. Sie stellten 
das Programm auf dem IT-Gipfel in 
Saarbrücken am 16.11.2016 vor. Die 
aktuellen Datenschutzbestimmun- 
gen von Amazon.de sind sieben Sei- 
ten lang, die der Partnervermittlung 
Parship acht Seiten, bei Facebook 
Deutschland sind es zehn Seiten. Das 
BMJV hatte zunächst ein Jahr zuvor 
eine Initiative zusammen mit Verbrau- 
cherschützern und IT-Unternehmen 
gestartet. Damit sollten Webseiten 
den Nutzenden die Regeln zum Da- 
tenschutz auf einer einzigen Seite ver- 
ständlich zusammengefasst werden. 
Dieser sogenannte One-Pager ist zwar 
nicht rechtlich bindend, so dass ir- 
gendwo weiterhin auf den langen Text 
verlinkt sein müsste, den kaum jemand 
liest. Doch erhalten die Nutzenden 
darüber einen Überblick, worauf sie 
sich mit einer Registrierung auf einem 
bestimmten Portal einlassen. Auf der 
Website des BMJV gibt es eine Vorla- 
ge für einen solchen One-Pager. 

Die Beteiligten stellten allerdings 
bald fest, dass kaum eine Internetsei- 
te die Vorlage nutzt und fast überall 
weiterhin nur die viel zu langen Juris- 
tentexte zu finden sind. Zalando bei- 
spielsweise hat die Information zwar 
mit bunten Balken in viele Abschnitte 
aufgeteilt. Das sieht nicht mehr ganz 
so furchtbar aus, macht den Text aber 
nicht kürzer. Justizminister Maas und 
der Zalando-Manager Philipp Erler 
stellten nun eine Plattform vor, mit 
der die Betreiber von Internetseiten 
die einseitige Zusammenfassung mit 
wenigen Klicks erstellen können, auch 
ohne Hilfe von JuristInnen oder Web- 
designerInnen. Dabei wird etwa abge- 
fragt, ob die Website Google Analytics 
nutzt und ob die Daten verschlüsselt 


übertragen werden. Eine Software 
stellt daraus die Übersicht zusammen. 
In wenigen kurzen, mit Bildern verse- 
henen Absätzen sollen die Nutzenden 
darauf sehen können, welche Daten sie 
preisgeben und was damit geschicht. 
Erler von Zalando erläuterte: „Es gibt 
immer noch ein großes Misstrauen 
gegenüber E-Commerce, die Nutzer 
haben Angst und sind zugleich unin- 
formiert.“ 

Dies bestätigte eine Umfrage des 
IT-Branchenverbandes Bitcom im 
Jahr 2015. Zwei Drittel der Befragten 
erklärten, sie hätten Angst „die Kon- 
trolle über den Schutz meiner Privat- 
sphäre zu verlieren“. In der Praxis 
setzen Menschen jedoch meist schnell 
einen Haken bei „Ich stimme den Da- 
tenschutzbedingungen zu“ und klicken 
weiter. Nur 14% gaben in derselben 
Umfrage an, sie läsen die Erklärungen 
bis zum Ende durch. Mit dem neuen 
Werkzeug hofft man nun, den Nutzen- 
den die nötigen Informationen besser 
zugänglich zu machen. Florian Glatz- 
ner vom Verbraucherzentrale Bun- 
desverband findet die Initiative gut: 
„Alles was hilft, Datenschutz besser 
verständlich zu machen, ist erst mal 
positiv.“ Das Software-Werkzeug wird 
allen Betreibern von Websites kos- 
tenlos zur Verfügung gestellt. Auch 
der Mitinitiator Zalando, so Erler, 
will eine solche Zusammenfassung 
verwenden (Endt, Mach’s kurz, SZ 
16.11.2016, 26). 


Bund 


KBA-Punktekonto von Be- 
troffenen online abrufbar 


AutofahrerInnen können seit dem 
08.12.2016 ihre Punkte in Flensburg 
online auf der Homepage des Kraft- 
fahrt-Bundesamtes (KBA) in Flensburg 
kostenfrei abrufen. Dafür benötigen sie 
einen der neuen Personalausweise mit 
freigeschalteter Online-Funktion, eine 
AusweisApp auf dem eigenen Computer 
und ein Kartenlesegerät. Verkehrsminis- 
ter Alexander Dobrindt (CSU) erklärte: 
„Wir digitalisieren die Verwaltung. Das 
spart Zeit und Geld‘ (Punkte in Flens- 
burg online abrufbar, www.heise.de 
08.12.2016). 
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Bundesweit 


Polizei kommuniziert mit 
TK-Unternehmen unver- 
schlüsselt und rechts- 
widrig 


Viele E-Mail-Anbieter stellen in- 
zwischen sog. Transparenzberichte ins 
Netz, in denen die Öffentlichkeit infor- 
miert wird, in welchem Umfang und 
auf welcher Rechtsgrundlage Behörden 
Kundendaten angefordert haben. Diese 
beschränken sich meistens auf knappe 
Zahlen mit begrenzter Aussagekraft. Der 
Anbieter Posteo geht über bloße Statisti- 
ken hinaus und veröffentlicht sogar eine 
Auswahl konkreter Behördenanfragen. 
Diese teils geschwärzten Dokumente of- 
fenbaren, dass die Polizei bei ihren Aus- 
kunftsersuchen bei etwa der Hälfte aller 
Ersuchen rechtswidrig vorgehen. 

Diese Behördenanfragen werden in 
großem Umfang per E-Mail gestellt. 
Darin enthalten sind sensible personen- 
bezogene Informationen wie E-Mail-Ad- 
ressen, Aktenzeichen und Tatvorwürfe. 
Auch im Jahr 2016 waren alle bei Posteo 
eingehenden Mails unverschlüsselt und 
damit während des Übermittlungsvor- 
gangs unsicher und mitlesbar. Die Poli- 
zei vieler Bundesländern selbst verstößt 
so gegen Datenschutzgesetze, die eine 
Verschlüsselung zwingend vorschreiben. 

Ein Polizist aus Mecklenburg-Vorpom- 
mern schickte gar einmal ein Auskunfts- 
ersuchen von einer offensichtlich priva- 
ten E-Mail-Adresse, die auf „online.de“ 
endet, und gab diese sogar in seiner of- 
fiziellen Signatur an. Das eingeschaltete 
Landesinnenministerium konnte den Fall 
bislang nicht aufklären. Ein großer deut- 
scher E-Mail-Anbieter bestätigte, dass 
dort immer noch schätzungsweise zehn 
Prozent der Kommunikation mit den Er- 
mittlungsbehörden über unverschlüsselte 
E-Mails geführt werde. 

Beamten fordern oft Daten an, ohne 
die Rechtsgrundlage zu benennen, wie 
es ausdrücklich im Gesetz vorgeschrie- 
ben ist. Oder sie nennen eine falsche, 
verwechseln etwa das Telekommunika- 
tionsgesetz mit dem Telemediengesetz. 
Der Berliner E-Mail-Anbieter mailbox. 
org bestätigt, dass etwa die Hälfte aller 
Anfragen Fehler enthielten. Oft werden 
keine Muster oder Standards verwendet 
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und Auskunftsersuchen frei formuliert. 

Ein wichtiger rechtlicher Unterschied 
ist der zwischen Bestands- und Verkehrs- 
daten. Die weitaus meisten Anfragen 
betreffen Bestandsdaten, das sind etwa 
Name, Adresse und Bankverbindung 
eines Kunden. Sie dürfen schon beim 
Verdacht auf eine bloße Ordnungswid- 
rigkeit abgefragt werden. (Dies jedoch 
unergiebig, wenn der E-Mail-Anbieter 
wie etwa Posteo gar keine Bestandsda- 
ten speichert.) Verkehrsdaten sind die 
Angaben darüber, wann und an wen je- 
mand eine E-Mail verschickt hat und 
wann er eingeloggt war. Sie dürfen nur 
bei Verdacht auf eine schwere Straftat 
abgefragt werden oder wenn die Straftat 
mittels Telekommunikation begangen 
wurde; die Behörden brauchen dafür eine 
richterliche Genehmigung. In der Praxis 
versuchen Polizisten es trotzdem immer 
wieder ohne. 

Im Rahmen einer Bestandsdatenabfra- 
ge forderte etwa eine Kriminalkommis- 
sarin des Bundeskriminalamtes (BKA) 
wie selbstverständlich „die letzten Lo- 
gin-Daten“ an. Das BKA erklärte diesen 
Vorgang zu einem „bedauerlichen Ein- 
zelfall“, was von Posteo bestritten wird: 
„Bisher haben uns insgesamt sechs Be- 
standsdaten-Ersuchen des BKA erreicht. 
Fünf waren nicht korrekt. In drei Fällen 
wurde nach Verkehrsdaten gefragt.“ 

Einmal bat ein Polizist aus Mecklen- 
burg-Vorpommern gar um Informationen 
zu „weiteren Anfragen durch Ermitt- 
lungsbehörden (event. Aktenzeichen die- 
ser)“. Ein anderer aus Sachsen begehrte 
eine Verkehrsdatenauskunft und kreuzte 
in seinem Formular an: „Ein richterli- 
cher Beschluss liegt z. Z. noch nicht vor.“ 
Doch die Diensteanbieter müssen jedes 
Gesuch prüfen. Sie unterliegen selbst 
engen Bestimmungen. Gäben sie tatsäch- 
lich Verkehrsdaten ohne richterlichen Be- 
schluss heraus, machten sie sich wegen 
Verletzung des Fernmeldegeheimnisses 
strafbar. Peer Heinlein, Geschäftsführer 
von mailbox.org, sagt: „Das könnte man 
juristisch sogar als Anstiftung zur Straftat 
verstehen.“ 

Posteo hat viele Fälle bereits an die 
Landesdatenschutzbeauftragten weiter- 
geleitet. Vor allem das Problem der un- 
verschlüsselten Kommunikation durch 
die Polizei ist vielen von ihnen seit lan- 
gem bekannt. In Bayern wird das Thema 
demnach „regelmäßig erörtert“ und ist 


„immer wieder Anlass für datenschutz- 
rechtliche Überprüfungen“. Die Daten- 
schutzbehörde für Niedersachsen berich- 
tet von „Sensibilisierungsmaßnahmen“ 
in betroffenen Behörden. Sein sächsi- 
scher Kollege setzte dem Landespolizei- 
präsidenten Anfang 2015 eine Frist, „mir 
mitzuteilen, welche Abhilfemaßnahmen 
er ergriffen hat“. Der Polizeipräsident 
reagierte mit einem ziemlich kompli- 
zierten Erlass an alle Polizeidienststel- 
len. Er trägt den herrlich bürokratischen 
Titel: „Grundsätzliche Maßnahmen zur 
Gewährleistung des Schutzes personen- 
bezogener Daten im Rahmen der polizei- 
lichen elektronischen Kommunikation.“ 
Eine Reaktion des Innenministeriums 
von Baden-Württemberg zeigt, wie groß 
der Aufklärungsbedarf bei den Behörden 
ist. Auf die Frage, warum auch Polizisten 
aus diesem Bundesland unverschlüssel- 
te Mails senden, teilte es mit, es bestehe 
„die technische Problematik“, dass das 
von Posteo bereitgestellte „spezielle Ver- 
schlüsselungsverfahren“ nur mit gebüh- 
renpflichtiger Software genutzt werden 
könne. Als wäre für rechtmäßiges Verhal- 
ten Voraussetzung, dass dies keine Kosten 
verursacht. Die Antwort ist zudem falsch, 
da Posteo zwei weitverbreitete Verfahren 
anbietet, von denen eines (GnuPG/PGP) 
komplett kostenlos genutzt werden kann. 
Das Bundesamt für Sicherheit in der In- 
formationstechnik empfiehlt es in seinem 
Grundschutzkatalog. Für das andere Ver- 
fahren ist lediglich ein Zertifikat einer 
vertrauenswürdigen Zertifizierungsstelle 
nötig, das 20 bis 50 € im Jahr kostet. 
Kommunikationssicherheit etabliert 
sich nur sehr langsam in der Verwaltung 
und in Deutschlands Polizeidienststellen. 
Die Berliner Polizei hat nach eigenen 
Angaben erst im dritten Quartal vergan- 
genen Jahres „eine Verschlüsselungs- 
infrastruktur eingeführt“. Mit ihr sollen 
alle künftigen polizeilichen Anfragen 
gesichert werden. Baden-Württemberg 
richtet derzeit eine Zentralstelle ein, die 
landesweit die Technik für sichere Da- 
tenabfragen bereitstellen soll. Die Test- 
phase läuft bereits, der Betrieb soll in 
Kürze aufgenommen werden. Da mit 
der Zentralstelle auch die Abfrageverfah- 
ren vereinheitlicht werden, soll es nicht 
mehr vorkommen, dass Polizisten bei 
Auskunftsersuchen über den gesetzlich 
zulässigen Rahmen hinausschießen. Dies 
würde nicht nur mehr Datensicherheit ge- 
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währleisten, ohne dass die Ermittlungs- 
verfahren verzögert werden, sondern 
zugleich die Anbieter von E-Mail-Diens- 
ten entlasten, die einen hohen Kosten, 
Personal- und Zeitaufwand wegen der 
Bearbeitung fehlerhafter Anfragen und 
ständiger Auseinandersetzung mit Be- 
hörden haben. Posteo-Mitgründerin Sab- 
rina Löhr meinte: „Dass uns regelmäßig 
hohe Anwaltskosten entstehen, weil wir 
uns rechtskonform verhalten, ist absurd“ 
(Tomik, Behördliche Abfragen: Wie di- 
lettantisch ‚Polizisten mit sensiblen Da- 
ten umgehen, www.faz.net 18.01.2017). 


Bundesweit 


Elektronische Fußfessel 
für mutmaßliche Isla- 
misten? 


Elektronische Fußfesseln sind seit fünf 
Jahren im Einsatz gegen Schwerkrimi- 
nelle. In Deutschland wurden seit 2012 
insgesamt 138 verurteilte Sexualstraftä- 
ter und Gewaltverbrecher per GPS über- 
wacht. Nach dem Willen der hessischen 
Justizministerin Eva Kühne-Hörmann 
(CDU) sollen künftig auch islamisti- 
sche Gefährder mit der 24-Stunden- 
Überwachung belegt werden. Die Po- 
litikerin sieht den Einsatz der Fußfessel 
als „wichtige(n) Baustein für mehr Si- 
cherheit in Deutschland“. So könne bei- 
spielsweise sichergestellt werden, dass 
„szenebekannte Hassprediger bestimmte 
Moscheen nicht mehr betreten oder dass 
sich einschlägig Verurteilte extremisti- 
sche Straftäter bestimmten kritischen In- 
frastrukturen wie Kraftwerken, Bahnhö- 
fen oder Flughäfen nicht nähern dürfen.“ 

Aktuell ist die Überwachung der be- 
kannten rechten, linken oder islamis- 
tischen Gefährder auf Grundlage des 
Fußfessel-Gesetzes nicht möglich. Per 
Fußfessel dürfen derzeit gefährliche 
Straftäter überwacht werden, für die 
die sogenannte Führungsaufsicht nach 
der eigentlichen Haftstrafe angeord- 
net wurde. Wer unter Führungsaufsicht 
steht, kann Geboten und Verboten unter- 
worfen werden; zum Beispiel kann ein 
Pädophiler die Auflage erhalten, sich 
von Kinderspielplätzen fernhalten zu 
müssen. Seit 2012 kann die Einhaltung 
dieser Auflagen per elektronischer Fuß- 
fessel kontrolliert werden. 
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Das Bundesland Hessen leitet die „Ge- 
meinsame Überwachungsstelle der Län- 
der“ (GÜL) und ist somit auch für die 
Umsetzung der Überwachung per elekt- 
ronischer Fußfessel zuständig. Zum Jah- 
reswechsel 2016/2017 wurden 88 Perso- 
nen von der GÜL überwacht, 63 wegen 
eines Sexualdelikts, 25 wegen einer vor- 
ausgegangenen Gewalttat. Die Vorgaben 
für eine Überwachung sind streng und 
eng an das bestehende Gesetz geknüpft. 
Die Justizministerin Kühne-Hörmann 
steht ihrer Forderung nach einer Auswei- 
tung der elektronischen Fußfessel nicht 
allein da: Die Experten-Gruppe der Jus- 
tizminister der Länder hat sich ebenfalls 
dafür ausgesprochen, die Überwachung 
auf „terrorverdächtige Extremisten“ 
auszuweiten (Elektronische Fußfes- 
sel für mutmaßliche Islamisten? www. 
chiemgau24.de 02.01.2017; Elektroni- 
sche Fußfesseln, SZ 03.01.2016, 5). 


Bundesweit 


CDU fordert verschärfte 
Sicherheitsmaßnahmen 
gegen Terrorismus 


Saarlands Innenminister und stell- 
vertretender Vorsitzender der Innen- 
ministerkonferenz Klaus Bouillon 
(CDU) fordert den Einsatz modernster 
Gesichtserkennungssoftware bei der 
Videoüberwachung öffentlicher Plät- 
ze. Im Kampf gegen Terrorismus und 
organisiertes Verbrechen müssten da- 
für gesetzliche Grundlagen geschaffen 
werden: „Wenn wir eine Liste mit den 
meistgesuchten Verbrechern der Welt 
haben, potenziellen Mördern, dann 
möge mir einer erklären, warum ich 
die biometrische Gesichtserkennung 
nicht einsetzen sollte.“ Beim Einsatz 
von Videoüberwachung mit biome- 
trischer Gesichtserkennung „laufen 
da Hunderttausende Leute vorbei und 
das interessiert die Kamera überhaupt 
nicht“. Die Gesichtserkennung per 
Computer, für die auch Bundesinnen- 
minister Thomas de Maiziere plädiert, 
ist politisch umstritten. Bouillon zeig- 
te sich „fest überzeugt“, dass auch die 
Gesichtserkennung „in den nächsten 
Wochen unter dem Druck der Ereig- 
nisse irgendwann „unstrittig werden“ 
könne. 


Er glaube nicht, dass die Diskussion 
um die von De Maiziere vorgeschlagene 
Übernahme der Verfassungsschutzauf- 
gaben in die Bundesverwaltung beendet 
sei. Besonders kategorisch hatte Bayern 
betont, am freistaatlichen Verfassungs- 
schutz festzuhalten. Bouillon: „Man kann 
ja das eine tun, ohne das andere zu las- 
sen. Die Kompetenzverteilung wird ein 
Thema bleiben.“ Die Zusammenarbeit 
zwischen Bundeskriminalamt und Lan- 
deskriminalämtern habe sich in jüngster 
Vergangenheit „wesentlich verbessert“. 
Auch für den Verfassungsschutz gelte, 
dass man „eine deutlich bessere Ko- 
operation als bisher“ brauche. Es gebe 
Möglichkeiten zur Zusammenarbeit ohne 
Aufgabe der Selbstständigkeit der Län- 
der: „Vom Grundsatz her hat De Maiziere 
absolut recht.“ 

Bouillon begrüßte, dass die Bundesre- 
gierung sich am 10.01.2017 auf die Ein- 
führung einer elektronischen Fußfessel 
für Gefährder, die leichtere Inhaftierung 
von Gefährdern im Rahmen der Abschie- 
behaft und des Ausreisegewahrsams und 
eine Residenzpflicht für Asylbewerber, 
die ihre Identität verschleiern, einigte: 
„Wir müssen ja versuchen, die Leute un- 
ter Kontrolle zu bringen, soweit das geht. 
Das sind doch zum Teil potenzielle Zeit- 
bomben“ (Saar-Innenminister dringt auf 
biometrische Videoüberwachung, www. 
swp.de 12.01.2017). 


Bundesweit 


Fußballfan-Erfassung in 
SKB-Dateien 


Durch intensives Nachhaken von 
Wiebke K. wegen eines polizeilichen 
„Betretens-- und Aufenthaltsverbots“ 
in Bezug auf ein Auswärtsspiel des 
Fußballvereins Hannover 96 in Braun- 
schweig im Frühjahr 2014 kam heraus, 
dass die Polizei heimlich, still und lei- 
se einen neuen Typ Polizeiregister ein- 
geführt hatte — die SKB-Dateien. SKB 
steht für „szenekundige Beamte“. Po- 
lizistInnen, die Fußballfans begleiten, 
tragen dort Personen ein, die sie im Sta- 
dionumfeld fotografiert, deren Persona- 
lien sie erfasst oder anderweitig ermittelt 
haben. Es kommt dabei nicht darauf an, 
ob die Ermittlungen zu einer Anklage 
geführt haben. Die SKB-Daten werden 
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zwischen den Dienststellen in Deutsch- 
land ausgetauscht. Erfasst sind in die- 
sen Dateien bundesweit einige Tausend 
Fußballfans — i. d. R. ohne dass diese 
dies wissen. Die Erfassung der Ultras in 
den SKB-Dateien ist ein Teil eines grö- 
Beren Bildes in der schon Jahre andau- 
ernden Auseinandersetzung der Polizei 
mit teilweise gewaltbereiten, Schläge- 
reien durchführenden rivalisierenden 
Fangruppen. Derartige Ultras gibt es in 
Deutschland geschätzt etwa 10.000. 

Die Gewalt bei Fußballspielen wird 
in der jährlichen Statistik der Zentralen 
Informationsstelle Sporteinsätze (ZIS) 
der Polizei erfasst. Die ZIS-Statistik 
listet auf, was an Störungen über eine 
Saison hinweg zusammenkommt. Ge- 
mäß Zahlen von Oktober 2016 wurden 
in der vergangenen Saison Fans 13.467 
Mal festgesetzt und 7.773 Strafverfah- 
ren eingeleitet. 1.265 Personen wurden 
verletzt. Die Zahl der ausgesprochenen 
Stadionverbote sank gegenüber der Vor- 
saison von 1.203 auf 829. Die Zahl der 
Ermittlungsverfahren wegen des Versto- 
Bes gegen das Sprengstoffgesetz — dabei 
geht es um das Abbrennen von Bengalos 
und Rauchtöpfen sowie das Abfeuern 
von Raketen — reduzierte sich um über 
ein Drittel auf 566 Fälle. Angestiegen 
ist dagegen die Zahl der Festnahmen. 
Diese gegenläufige Entwicklung bringt 
Rechtsanwalt Andreas Hüttl, an den 
sich Mitglieder der deutschen Fanhilfen 
wenden, wenn sie Ärger mit der Polizei 
haben, zu der Feststellung: „Während 
die Gewalttaten im Umfeld der Stadien 
abgenommen haben, haben die repres- 
siven Maßnahmen immer weiter zuge- 
nommen.“ 

Hüttl vertritt Wiebke K. vor Gericht. 
Die 27jährige Rechtsanwaltsgehilfin ist 
seit 14 Jahren Anhängerin von Hanno- 
ver 96. In erster Instanz konnten sie er- 
reichen, dass einige Eintragungen von 
ihr in der SKB-Datei gestrichen wurden, 
z. B. ein eingestelltes Ermittlungsver- 
fahren, von dem Wiebke K. nie etwas 
erfahren hatte. In Niedersachsen wur- 
den die gesetzlichen Anforderungen an 
diese Polizeidateien erst nachträglich 
erfüllt, nachdem gegen eine SKB-Datei 
geklagt wurde. In Hamburg leugnete die 
Polizei noch im Jahr 2014 die Existenz 
einer SKB-Datei. Durch eine parlamen- 
tarische Anfrage einer Linken-Abgeord- 
neten Anfang 2016 kam dann heraus, 
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dass dort eine solche Datei existiert 
mit mehr als 1.000 Fans des HSV und 
400 St.-Pauli-Fans. Angelegt wurde die 
Datei am 01.06.2006, wenige Tage vor 
Beginn der Fußballweltmeisterschaft 
in Deutschland. Nachdem die Existenz 
dieser Datei bekannt war, blieb der Poli- 
zei in Hamburg nichts anderes übrig, als 
sie komplett zu überarbeiten und einige 
Hundert Fans zu streichen. 

Thüringen führt, so das dortige Innen- 
ministerium, aus Gründen des Daten- 
schutzes keine eigene SKB-Datei. Doch 
möchte man, so Innen-Staatssekretär 
Udo Götze auf eine Linken-Anfrage, 
die Daten anderer Bundesländer nutzen: 
„Ich gehe davon aus, dass die anderen 
Bundesländer datenschutzkonform ar- 
beiten und diese Anfragen dann unpro- 
blematisch möglich sind.“ 

In Nordrhein-Westfalen wollen Ende 
2016 einige Hundert Ultras von der Po- 
lizei wissen, was über sie gespeichert ist. 
Dort ist das Verhältnis zwischen Fans 
und Polizei besonders angespannt. Vor 
einiger Zeit hat die Polizei in Düsseldorf 
DNA-Proben von zwei Anhängern ge- 
nommen — wie sie sagt, auf freiwilliger 
Basis. Damit sollten künftig Straftaten 
aufgeklärt werden — als Teil des Kon- 
zepts „Intensivtäter Sport“. Eine Fan- 
gruppierung wies darauf hin, dass die 
involvierten Ultras strafrechtlich nicht 
verurteilt sind und kommentierte: „Von 
einer Entnahme auf freiwilliger Basis 
kann dabei nicht gesprochen werden. 
Entweder die Probe wird abgegeben, 
oder die Betroffenen erwartet eine här- 
tere Gangart.“ Es ist ein Fall bekannt, in 
dem eine DNA-Analyse im deutschen 
Fußball ein Delikt aufklären sollte: 2012 
warfen Anhänger des 1. FC Köln einen 
Pflasterstein auf einen Fanbus Mönchen- 
bladbachs. Die DNA-Untersuchung des 
Wurfgeschosses führte zu keinem ge- 
richtlich verwertbaren Ergebnis. 

In Oberhausen erhielten 15 Extrem- 
fans im Frühjahr 2016 von der Stadt die 
Aufforderung, sich einer Medizinisch- 
Psychologischen Untersuchung (MPU), 
also dem sog. Idiotentest, zu unterzie- 
hen. Aufgrund ihres hohen Aggressions- 
potenzials sei davon auszugehen, dass 
die Ultras auch im Straßenverkehr im- 
pulsiv handelten: „Diverse polizeiliche 
Ermittlungen gegen Sie sind anhängig 
und aufgrund der Gruppierung auch in 
Zukunft zu erwarten.“ Laut Aussage der 


Ultras sind 13 der insgesamt 15 Betrof- 
fenen niemals rechtlich belangt worden. 
Der Fußball-Club Rot-Weiß Oberhau- 
sen meinte, der eventuelle Verlust des 
Führerscheins sei „ein bisschen viel“. 
Auffällige Ultras würden ohnehin straf- 
rechtlich verfolgt und bekämen Stadion- 
verbot. Oktober wurden dann 4 Ultras 
per Verwaltungsakt angeschrieben, die 
MPU zu absolvieren. Da ihr Arbeitsplatz 
vom Führerschein abhängig ist, wollten 
sie der Aufforderung nachkommen. 

Andre Schulz, Vorsitzender des Bun- 
des Deutscher Kriminalbeamter (BDK), 
plädierte für mehr gegenseitiges Ver- 
ständnis. Aggressivität sei kein Pro- 
blem des Fußballs, besonders zuneh- 
mende Übergriffe auf „Amtspersonen 
des öffentlichen Dienstes“ beträfen die 
gesamte Gesellschaft. Da mache der 
Fußball keine Ausnahme. „Ähnliches 
erleben wir leider auch zunehmend bei 
anderen Routineeinsätzen, etwa bei 
Verkehrskontrollen“ (Ludwig/Poppe/ 
Ruf, Heimliche Aufrüstung, Der Spiegel 
46/2016, 108 ff.). 


Baden-Württemberg 


Stefan Brink wird neuer 
Datenschutzbeauftragter 


Am 01.12.2016 wählte der Landtag 
von Baden-Württemberg mit 108 von 
125 Stimmen den 49 Jahre alten Juristen 
Stefan Brink zum Landesbeauftragten 
für den Datenschutz (LfD) des Landes 
Baden-Württemberg. Er ist Nachfolger 
des bereits am 30.04.2016 aus dem Amt 
geschiedenen Jörg Klingbeil. Die lange 
Vakanz wurde zuvor kritisch gesehen, die 
späte Nachbesetzung erschien der heuti- 
gen Bedeutung des Datenschutzes unan- 
gemessen. Die lange Vakanz begründeten 
die Grünen wie folgt: Die alte grün-rote 
Landesregierung habe ihren Nachfolgern 
nicht vorgreifen wollen. Zum anderen 
bedürfe die sorgfältige Suche nach einem 
unabhängigen und qualifizierten Kandi- 
daten eben Zeit. 

Die Grünen hatten in der Landesregie- 
rung für den Posten das Vorschlagsrecht. 
Am 22.11.2016 bestätigte das Kabinett die 
Personalie. Der Vorsitzender der Grünen- 
Fraktion Andreas Schwarz erklärte, der 
Kandidat sei parteipolitisch unabhängig. 
Seine Fachlichkeit stehe „außer Zweifel“. 
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Brink promovierte bei Prof. Hans Her- 
bert von Arnim an der Deutschen Univer- 
sität für Verwaltungswissenschaften in 
Speyer. Er war beim Wissenschaftlichen 
Dienst des Landtags Rheinland-Pfalz und 
später als Richter am Verwaltungsgericht 
Koblenz sowie als Wissenschaftlicher 
Mitarbeiter beim Bundesverfassungsge- 
richt (1. Senat, Prof. Dr. Reinhard Gaier) 
tätig. Diesen Tätigkeiten folgte bis zu sei- 
nem Wechsel nach Baden-Württemberg 
seine Amtszeit als Leiter Privater Daten- 
schutz beim Landesbeauftragten für den 
Datenschutz und die Informationsfreiheit 
in Rheinland-Pfalz sowie als Stellvertre- 
tender Landesbeauftragter für die Infor- 
mationsfreiheit Rheinland-Pfalz. Er ist 
Mitherausgeber eines Datenschutz-Stan- 
dardkommentars. 

Als Lehrbeauftragter ist Brink sowohl 
an der Deutschen Universität für Verwal- 
tungswissenschaften Speyer als auch an 
der Europa-Universität Viadrina in Frank- 
furt/Oder engagiert (Landtag wählt Ste- 
fan Brink, http://www.stuttgarter-zeitung. 
de 01.12.2016; https://de.wikipedia.org/ 
wiki/Stefan Brink; Allgöwer, Stuttgar- 
ter Nachrichten 12.11.2016, 5; Ballarin, 
Aalens ehemaliger Vize-Polizeichef wird 
Bürgerbeauftragter, Aalener Nachrichten 
12.11.2016, 2). 


Berlin 


Telefonica Next soll Da- 
tengeschäft in Schwung 
bringen 


Telefonica Deutschland will mit einem 
konzerneigenen Datenanalyse-Startup 
dem Umsatzschwund im angestamm- 
ten Mobilfunkgeschäft entgegentreten. 
Gemäß Firmenchef Thorsten Dirks ist 
hierfür in Berlin die Tochter Telefonica 
Next mit 50 MitarbeiterInnen gegründet 
worden: „Daten sind der Rohstoff der Zu- 
kunft.‘“ Das unter der Marke „02“ bekann- 
te Unternehmen will etwa in den Daten 
seiner 44 Mio. MobilfunkkundInnen nach 
Mustern suchen, die für andere Firmen 
wertvoll seien. So könnten Supermärkte 
etwa herausfinden, wann welche Waren 
gekauft werden. Dirks versprach, dass alle 
Datenschutzregeln streng eingehalten und 
die Angaben anonymisiert würden. „Wir 
wollen keine Kundendaten verkaufen, 
sondern an der Analyse Geld verdienen.“ 
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Zudem setzt Telefonica auf das Ver- 
netzen von Maschinen mit Sensoren. Die 
daraus gewonnen Daten sollen dann Ent- 
wicklern bereitgestellt werden. Marktex- 
perten trauen den Geschäftsfeldern hohe 
Wachstumsraten zu. Die Unternehmens- 
beratung McKinsey rechnet damit, dass 
die Zahl der vernetzten Geräte in Deutsch- 
land in vier Jahren 183 Mio. erreicht. Vo- 
riges Jahr waren es noch 82 Mio. Zu den 
erwarteten Umsätzen der 100-prozentigen 
Tochter, die von 2017 an von Ex-Vodafo- 
ne-Manager Nicolaus Gollwitzer geführt 
wird, wollte Dirks nichts sagen. 

Telefonica gehört zum gleichnamigen 
Telekomriesen aus Spanien und stieg 
durch die Übernahme des Rivalen E-Plus 
nach Kunden zum Marktführer auf. We- 
gen des starken Wettbewerbs mit der Te- 
lekom und Vodafone sowie von Behörden 
verordneten Gebührensenkungen wird der 
Umsatz im Mobilfunk im laufenden Jahr 
die 5,5 Milliarden Euro aus dem Jahr 2015 
nicht erreichen (Start-Up soll Datenge- 
schäft ankurbeln, www.handelsblatt.com 
09.11.2016). 


Berlin 


BInBD]I beanstandet AfD- 
Werbung 


Die Berliner Beauftragte für Daten- 
schutz und Informationsfreiheit (Bin- 
BDI) Maja Smoltczyk rügte die Partei- 
vize der „Alternative für Deutschland“ 
(AfD) Beatrix von Storch wegen der Nut- 
zung von personenbezogenen Daten für 
Werbezwecke. Von Storch betreibt ein 
Geflecht von Vereinen und Internet-Platt- 
formen und hat Nutzende ihrer Seite Ci- 
vilpetition.de und Abgeordneten-Check. 
de nicht hinreichend darüber informiert, 
dass sie deren Daten auch für Werbe- 
zwecke wie Newsletter verwendet: „Eine 
vorausgefüllte Einwilligung erfüllt diese 
Anforderung nicht“. Die BInBDI prüft 
zudem weitere Hinweise der Internetak- 
tivistin Katharina Nocun, dass in Storchs 
Vereinsgeflecht persönliche Daten von 
Nutzenden versendet werden. Deren 
Behörde forderte Storch auf, die Daten- 
schutzhinweise für mehrere ihrer Inter- 
netseiten nachzubessern: „Es darf keine 
Sonderrechte für abgeordnetennahe Ver- 
eine geben, auch nicht für die AfD“ (Der 
Spiegel 52/2016, 34). 


Hessen 


Verfassungsschutz spei- 
chert weiter Friedensakti- 
vistin 


Eine 70 Jahre alte Aktivistin aus der 
Friedensbewegung muss im Rechtsstreit 
um ihre jahrelange Beobachtung durch 
den hessischen Verfassungsschutz weiter 
auf eine Entscheidung warten. Das Wies- 
badener Verwaltungsgericht verwies den 
Fall am 12.01.2017 zurück zum Verwal- 
tungsgericht Kassel, wo bereits eine Kla- 
ge der ehemaligen Lehrerin anhängig ist. 
Die Tochter des Widerstandskämpfers 
und Verfolgten des NS-Regimes, Peter 
Gingold, will erreichen, dass die jahre- 
lange Datensammlung und Speicherung 
des Verfassungsschutzes über ihre Akti- 
vitäten von Anfang an rechtswidrig war 
und dass die Beobachtung eingestellt 
wird. Das Verfahren in Wiesbaden war 
von einer juristischen Auseinanderset- 
zung in Kassel abgetrennt worden. In 
dem Prozess geht es um die Einsicht 
und Löschung aller ihrer Daten beim 
hessischen Verfassungsschutz. Der Vor- 
sitzende Richter begründete seine Ent- 
scheidung zur Zuständigkeit des Kasseler 
Verwaltungsgerichts mit rein formalen 
Gründen. Inhaltlich ließ er sich nicht ein. 
Silvia Gingold, die von rund 100 Sym- 
pathisantInnen aus dem linken Spektrum 
im und vor dem Gerichtssaal unterstützt 
wurde, äußerte sich enttäuscht nach dem 
Verfahren: „Für mich ist das ein rausre- 
den und weiterschieben“ (Beobachtung 
durch Verfassungsschutz: Keine Ent- 
scheidung, www.focus.de 12.01.2017) 


Mecklenburg-Vorpommern 


Heinz Müller neuer 
Datenschutzbeauftragter 


Der Landtag von Mecklenburg-Vor- 
pommern hat am 07.12.2016 den frühe- 
ren SPD-Landtagsabgeordneten Heinz 
Müller zum neuen Landesdatenschutzbe- 
auftragten gewählt. Müller erhielt 38 von 
68 abgegebenen Stimmen. Erforderlich 
waren 36. Für seinen Konkurrenten Kars- 
ten Neumann, den die Linken nominiert 
hatten, votierten elf Abgeordnete. Nur 49 
der in geheimer Wahl abgegebenen Stim- 
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men waren gültig. Müller, dem nach der 
Landtagswahl vom 04.09.2016 den Wie- 
dereinzug ins Parlament verpasste, weil 
sein Wahlkreis vom AfD-Kandidaten 
gewonnen wurde, folgt als Landesdaten- 
schützer auf Reinhard Dankert, der in den 
Ruhestand geht. 

Schwerpunkte seiner Arbeit sieht Mül- 
ler vor allem in der Vereinheitlichung 
des Datenschutzrechts mit der ab 2018 
geltenden neuen EU-Datenschutzverord- 
nung. Zudem müsse das Bewusstsein für 
den Datenschutz vor allem bei jungen 
Menschen gestärkt werden, hatte Müller 
vor seiner Wahl gesagt. Der Datenschutz 
sollte seiner Meinung nach auch Teil der 
Lehrerbildung sein. 

Zuvor hatte sich die Deutsche Vereini- 
gung für Datenschutz (DVD) erfolglos in 
einem offenen Brief an die Landtagsprä- 
sidentin und die Fraktionsvorsitzenden 
des Landtags von Mecklenburg-Vorpom- 
mern gewandt mit der Aufforderung, die 
geplante Wahl des Landesbeauftragten 
für Datenschutz und Informationsfreiheit 
zu verschieben, ein transparentes Verfah- 
ren für die Auswahl der Kandidaten zu 
praktizieren und den besten Kandidaten 
zu bestellen. 

Im Folgenden wird dieser offene Brief 
dokumentiert: 

„Vor wenigen Tagen wurde bekannt, 
dass geplant sei, Heinz Müller Anfang 
Dezember dieses Jahres zum Landesbe- 
auftragten für Datenschutz und Informa- 
tionsfreiheit Mecklenburg-Vorpommern 
zu wählen. 

Gemäß Presseberichten hat der 62 Jah- 
re alte, seit 18 Jahren im Landtag sitzen- 
de und zuletzt langjährige Parlamentari- 
sche Geschäftsführer der SPD-Fraktion 
den Wiedereinzug in den Landtag bei der 
Wahl am 04.09.2016 verpasst. Mit dem 
Thema Datenschutz habe er sich bisher 
„nicht so sehr beschäftigt“. Die Opposi- 
tion spreche insofern von einem „Versor- 
gungsposten“. 

Die Deutsche Vereinigung für Daten- 
schutz e.V. (DVD) hat hinsichtlich die- 
ser Planung sowohl fachliche wie auch 
rechtliche Bedenken. Es geht dabei der 
DVD in keiner Hinsicht konkret um die 
Person von Heinz Müller, der in Daten- 
schutzkreisen bisher völlig unbekannt 
ist und deshalb nicht bewertet werden 
soll. Vielmehr befürchtet die DVD, dass 
aus nichtfachlichen Gründen und unter 
Verletzung der am 25.05.2016 in Kraft 
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getretenen Europäischen Datenschutz- 
Grundverordnung (DSGVO) die Bestel- 
lung eines Leiters einer Datenschutzauf- 
sichtsbehörde (in der Terminologie des 
DSGVO eines „Mitglieds“) erfolgen soll: 

In Art. 53 Abs. 1 DSGVO heißt es: 
„Jedes Mitglied muss über die für die Er- 
füllung seiner Aufgaben und Ausübung 
seiner Befugnisse erforderliche Quali- 
fikation, Erfahrung und Sachkunde im 
Bereich des Schutzes personenbezogener 
Daten verfügen.“ 

Hinsichtlich des Auswahlverfahren 
heißt es in Art. 53 Abs. 1 DSGVO, dass 
„jedes Mitglied ihrer Aufsichtsbehörden 
im Wege eines transparenten Verfahrens“ 
zu ernennen ist. Diese Vorgaben werden 
in Art. 54 Abs. 1 DSGVO bekräftigt, 
wobei in lit d vorgesehen ist, dass bei 
Notwendigkeit „eine zeitlich versetzte 
Ernennung zur Wahrung der Unabhän- 
gigkeit der Aufsichtsbehörde“ erfolgen 
kann. Daraus ist abzuleiten, dass spätes- 
tens zum 25.05.2018 materiell die perso- 
nellen Anforderungen an das „Mitglied“ 
erfüllt sein müssen. 

Gemäß Art. 99 Abs. 2 DSGVO gilt 
die Grundverordnung vom 25.05.2018 
an. Weiter heißt es: „Diese Verordnung 
ist in allen ihren Teilen verbindlich und 
gilt unmittelbar in jedem Mitgliedstaat.“ 
Gemäß dem im Europarecht anerkann- 
ten Prinzip der „Vorwirkung“ bzw. des 
„Frustrationsverbots“ dürfen auf natio- 
naler Ebene keine Entscheidungen ge- 
troffen werden, die dem Ziel gültigen 
Europarechts entgegenstehen oder sie 
ernstlich gefährden (EuGH, U v. 22. 11. 
2005, C-144/04 — Mangold). Bei der DS- 
GVO handelt es sich um gültiges Europa- 
recht. Verstößt heute die Bestellung des 
Landesbeauftragten für Datenschutz und 
Informationsfreiheit (L{DI MV) gegen 
Europarecht, so hätte dies zur Folge, dass 
dieser Verstoß auch nach direkter An- 
wendbarkeit des DSGVO am 25.05.2018 
direkte Wirkung entfaltet. 

Zweck der o. g. Regelungen zur Be- 
stellung von Datenschutzbeauftragten ist 
es, deren Qualifikation, Legitimation und 
Unabhängigkeit sicherzustellen, was für 
die Wahrung des digitalen Grundrechts- 
schutzes gemäß der Rechtsprechung des 
Bundesverfassungsgerichts wie auch 
nach Art. 8 Abs. 3 der Europäischen 
Grundrechte-Charta geboten ist. 

Die Auswahl des Kandidaten für die 
Bestellung zum LfDI MV erfolgte nach 


unserem Eindruck nicht in einem — wie 
europarechtlich gefordert — transparenten 
Verfahren. Hierfür bedürfte es einer Aus- 
schreibung und der danach eröffneten 
Möglichkeit einer demokratischen De- 
batte über die zur Wahl stehenden Kan- 
didaten. 

Es ist für uns aber auch nicht erkenn- 
bar, dass der Kandidat die europarecht- 
lich geforderte „für die Erfüllung seiner 
Aufgaben und Ausübung seiner Befug- 
nisse erforderliche Qualifikation, Erfah- 
rung und Sachkunde, insbesondere im 
Bereich des Schutzes personenbezogener 
Daten‘ mitbringt. 

Dies hätte zur Folge, dass die Bestel- 
lung des derzeitigen Kandidaten gegen 
Europarecht verstoßen würde. Dies hätte 
zudem die Folge, dass die Gewährleis- 
tung eines demokratisch umfassend legi- 
timierten, kompetenten und unabhängi- 
gen Datenschutzes gefährdet wäre. Dies 
hätte nicht nur für den Datenschutz in 
Mecklenburg-Vorpommern, sondern in 
Deutschland und wegen der Einbindung 
in die europäischen Entscheidungspro- 
zesse (Art. 63 DSGVO) in Europa nega- 
tive Auswirkungen. 

Die geplante Personalentscheidung ist 
für die DVD zudem auch deshalb nicht 
nachvollziehbar, weil anscheinend nicht 
erwogen wurde, den bisherigen, qualifi- 
zierten und erfahrenen Amtsinhaber er- 
neut zu bestellen oder auch dessen Stell- 
vertreter, der sich bundesweit für den 
Datenschutz in größtem Maße verdient 
gemacht hat und in hervorragender Weise 
qualifiziert ist. 

Wir fordern Sie daher dringend auf, die 
für den Dezember 2016 geplante Wahl 
des Landesbeauftragten Mecklenburg- 
Vorpommern zu verschieben, ein trans- 
parentes Verfahren zu dessen Bestellung 
zu wählen und die qualifizierteste Person 
auszuwählen, so wie dies auch von Art. 33 
Abs. 2 Grundgesetz gefordert wird“. 

Offensichtlich in Reaktion auf den of- 
fenen Brief der DVD rechtfertigte SPD- 
Fraktionsvorsitzender Thomas Krüger 
die Auswahl: „Heinz Müller ist sehr gut 
geeignet für das wichtige Amt. Als aner- 
kannter Experte im Bereich der Innen- 
und Kommunalpolitik ist Heinz Müller 
seit vielen Jahren mit Fragen des Da- 
tenschutzes und der Informationsfreiheit 
vertraut. Von 1998 bis 2016 war Müller 
ununterbrochen Mitglied des für Daten- 
schutz und Informationsfreiheit zustän- 
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digen Landtagsinnenausschusses. Zudem 
verfügt er als langjähriger Parlamentari- 
scher Geschäftsführer über herausragen- 
de Erfahrungen an der Schnittstelle zwi- 
schen Politik und Verwaltung. Das sind 
aus unserer Sicht sehr gute Vorrausetzun- 


gen für das Amt des Datenschutzbeauf- 
tragten““ (Ex-Abgeordneter Heinz Müller 
neuer Datenschutzbeauftragter, www. 
ostsee-zeitung.de 07.12.2016, SPD- 
Fraktion schlägt Heinz Müller als neuen 
Datenschutzbeauftragten des Landes vor, 


Datenschutznachrichten aus dem Ausland 


Weltweit 


Riesen-Datenklau gegen 
Yahoo 


Nach eigenen Angaben des Unterneh- 
mens Yahoo vom 14.12.2016 sind mehr 
als eine Milliarde Nutzende des US-In- 
ternetanbieters Opfer eines bislang un- 
bekannten Hackerangriffs im Jahr 2013 
geworden. Die Hacker hätten, so Sicher- 
heitschef Bob Lord, wahrscheinlich im 
August 2013 persönliche Daten von mehr 
als einer Milliarde Konten, was darauf hin- 
deutet, dass es sich damit um das größte 
bekannt gewordene Datenleck bei einem 
E-Mail-Provider überhaupt handelt. Die 
Cyberattacke sei von einer „nicht autori- 
sierten dritten Partei“ geführt worden. Den 
Angaben zufolge dürften Namen, E-Mail- 
Adressen, Telefonnummern, Geburtsda- 
ten, Passwörter und in manchen Fällen Si- 
cherheitsfragen und -antworten entwendet 
worden sein. In dem offenbar betroffenen 
System seien aber keine Konto- oder Kre- 
ditkarten gespeichert gewesen. 

Yahoo informierte die Betroffenen 
und setzte die Passwörter zurück. Un- 
verschlüsselte Sicherheitsfragen wurden 
deaktiviert. Das Unternehmen wies Nut- 
zenden zudem an, ihre Passwörter zu än- 
dern und ihre Sicherheitsfragen ungültig 
zu machen. Yahoo hatte die Passwörter 
zwar auf zweifache Weise verschlüsselt 
- über Codierung und mit einer Technik 
namens Hashing. Doch können Hacker 
inzwischen gesicherte Passwörter kna- 
cken, indem sie riesige Lexika mit ähnlich 
verschlüsselten Begriffen anlegen und sie 
mit Datenbanken gestohlener Passwörter 
abgleichen. Dadurch könnten UserInnen 
in Schwierigkeiten geraten, die ihr Yahoo- 
Passwort auch für andere Online-Konten 
nutzen. Yahoo geht davon aus, dass es sich 
bei dem nun bekannt gegebenen Hack 
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um einen anderen Vorfall als den Hacke- 
rangriff von 2014 handele, bei dem rund 
500 Millionen Konten betroffen waren. 
Diese Cyberattacke hatte Yahoo im Sep- 
tember 2016 bekannt gemacht. Bei dem 
nun eingeräumten Hackerangriff ging um 
dem Unternehmen zufolge um dieselbe 
Art von Daten. Es ist unklar, wann Yahoo 
von dem Hack Kenntnis erlangt hat. Am 
07.11.2016 hatten Sicherheitsbehörden 
der Firma gehackte Daten zur Kenntnis 
gegeben. Der Konzern vermutet, dass 
beide Attacken von denselben Angreifern 
im Auftrag eines Staates ausgingen. Wel- 
chem Land sie zugerechnet werden, ist bis 
heute nicht mitgeteilt worden. Der Sicher- 
heitsanalyst Andrew Komarow erklärte, 
dass eine osteuropäische Hackergruppe 
die Daten angeboten habe. 

Yahoo erklärte, man wisse noch nicht, 
wie die Angreifer in das System gekom- 
men seien, was vom IT-Sicherheitsexper- 
ten Bruce Schneier kommentiert wurde: 
„Yahoo hat richtigen Mist gebaut. Man 
sieht jetzt, dass sie Sicherheit nicht ernst 
genommen haben“. US-amerikanische 
BürgerrechtlerInnen zweifeln ohnehin 
generell an der Vertrauenswürdigkeit des 
Unternehmens. Zwei ehemaligen Be- 
schäftigten zufolge scannt das Unterneh- 
men E-Mails für amerikanische Sicher- 
heitsbehörden wie NSA und FBI nach 
bestimmten Schlagworten. 

Der neuerliche umfangreiche Diebstahl 
von Kundendaten gefährdet die geplante 
Übernahme Yahoos durch den Telekom- 
munikationsriesen Verizon mit einem 
Volumen von rund 4,8 Milliarden Dollar. 
Der Telekomkonzern kündigte dazu an, 
die Situation im Rahmen der Ermittlun- 
gen bei Yahoo im Blick zu behalten. Ehe 
eine endgültige Entscheidung getroffen 
werde, so Sprecher Bob Varettoni, würde 
die „neue Entwicklung“ geprüft. Yahoo 
zeigte sich zuversichtlich, dass die neu- 


www.spd-fraktion-mv.de 05.12.2016; 
DVD, Offener Brief 17.11.2016 https:// 
www.datenschutzverein.de/wp-content/ 
uploads/2016/11/2016-11-DVD-Brief- 
LfDI-MV.pdf). 


este Bekanntmachung den Verkauf an 
Verizon nicht bedroht. Yahoo sei während 
der Untersuchung in ständigem Kontakt 
mit Verizon gewesen (www.handelsblatt. 
com 14./15.12.2016, Yahoo meldet größ- 
ten Datenklau aller Zeiten; Kuhn, „Richtig 
Mist gebaut“, SZ 16.12.2016, 15). 


Weltweit 


Facebook legt Patienten- 
kontaktdaten offen 


Eine Psychiaterin, die Facebook 
nutzt, konnte sich nicht erklären, war- 
um sie sich gemäß dem Vorschlag des 
sog. sozialen Netzwerks plötzlich mit 
ihre PatientInnen befreunden sollte. 
Auch ihre PatientInnen berichteten ihr, 
dass sie andere, die sie etwa in der Pra- 
xis getroffen hatten, plötzlich auf Face- 
book fanden. 

Für die Psychiaterin stellt dies ein 
großes Vertraulichkeits-Problem. Ihre 
Patienten-Daten müssen vertraulich 
behandelt werden. Alleine, dass an- 
dere die Namen ihrer MitpatientIn- 
nen herausfinden, könnte sogar zum 
Sicherheitsrisiko werden. Ihr erster 
Verdacht war, dass es damit zusam- 
menhängt, dass sich alle Personen 
einmal am gleichen Ort aufgehalten 
hatten. Facebook hatte das jedoch zu- 
rückgewiesen und gemeint, dass keine 
Accounts nach ihrer Location empfoh- 
len werden würden. 

Daher besteht die Vermutung, dass 
die Empfehlungen auf die Angabe ihrer 
Telefonnummern auf Facebook durch 
die Psychiaterin und deren PatientIn- 
nen zurückgeht. Wenn Kontakte aus 
dem Adressbuch importiert werden, 
sind sie miteinander verknüpft. Im pri- 
vaten Umfeld kann das Feature prak- 
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tisch sein, doch im beruflichen Kontext 
kann es, wie hier, zu großen Problem 
führen, zumal es keine Vorwarnung und 
keine Erklärung für die Nutzenden gibt, 
dass dies passieren wird. Ein Sprecher 
von Facebook bestätigte die Vermutung 
nicht, widerlegte sie aber auch nicht: 
„Die Auswahl von Freundschaftsvor- 
schläge basiert auf vielfältigen Fak- 
toren, einschließlich gemeinsamen 
Freunden, Berufs- oder Ausbildungs- 
informatioen, gemeinsam genutzten 
Netzwerken, importierten Kontakten 
und anderen Faktoren.“ 

Dies ist ein weiterer Grund, wes- 
halb auch die Datenweitergabe der 
Whatsapp-Telefonnummern an Face- 
book kritisch zu sehen ist (Plötzlich 
wurden einer Psychiaterin ihre Pati- 
enten auf Facebook vorgeschlagen: 
Wie kann das sein? t3n.de 30.08.2016; 
Scotti, Facebook recommended that 
this psychiatrist’s patients friend each 
other, www.fusion.net 29.08.2016). 


Europa 


System für visumfreie 
Einreise in die EU 
geplant 


Die Europäische Union (EU) will ein 
Verfahren einführen, mit dem Drittaus- 
länderInnen sich vor einer visumfreien 
Einreise in den EU-Raum elektronisch 
anmelden müssen. Die EU-Kommission 
will damit eine Sicherheitslücke schlie- 
Ben. Sie präsentierte am 16.11.2016 
ihren Vorschlag für ein europäisches 
Reise-Informations- und Genehmi- 
gungssystem (Etias). Vizepräsident 
Frans Timmermans begründete die Ini- 
tiative: „Wir können dann wissen, wer 
unsere Grenze überschreitet. Das wissen 
wir bisher nur bei Inhabern von Visa.“ 
Betroffen sein sollen also BürgerInnen 
aus Nicht-EU-Staaten, die für eine Rei- 
se nach Europa kein Visum benötigen, 
sondern nur einen Reisepass, also z. B. 
Menschen aus den USA, Japan, Taiwan, 
Malaysia, Serbien oder Mazedonien. 
Die Liste umfasst knapp 60 Länder, 
nach dem Brexit dürfte wohl auch Groß- 
britannien dazu kommen. 

Vorbild für die Initiative ist das US- 
amerikanische Esta-Verfahren. So be- 
nötigen z. B. EU-BürgerInnen für eine 
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Reise in die USA zwar kein Visum, wohl 
aber seit 2009 eine Reisegenehmigung. 
Sie ist vor Fahrtantritt online zu beantra- 
gen und kostet 14 Dollar. Verlangt wer- 
den diverse persönliche Angaben, unter 
anderem über Schulbildung, Job, Vor- 
strafen und Krankheiten. Gibt das Esta- 
System grünes Licht, garantiert dies zwar 
noch keine Einreise in die USA, verkürzt 
aber die Überprüfung an der Grenze, die 
nach den Anschlägen von 9/11 stark ver- 
schärft worden war. 

Gemäß Timmermann ist das geplante 
System „billig, leicht und effizient“. Al- 
les geschehe gemäß den neuesten Daten- 
schutzregeln der EU, die in Brüssel als 
„die besten der Welt“ gelten. Das Aus- 
füllen dauere nur wenige Minuten und 
werde in 95 Prozent aller Fälle wiederum 
in Minuten zu einer positiven Antwort 
führen. Die Daten werden automatisiert 
mit den einschlägigen europäischen Da- 
tenbanken abgeglichen. Dazu zählen 
das Schengener Informationssystem, die 
Asylbewerber-Datenbank Eurodac, das 
Visa-Informationssystem oder die Daten- 
banken von Europol und Interpol. Hin- 
zukommen wird das geplante Ein- und 
Austrittssystem der EU, mit dem künftig 
jene ermittelt werden sollen, die sich län- 
ger im Schengen-Gebiet aufhalten, als 
sie dürfen. All dies soll miteinander zu 
einer IT-Architektur verbunden werden, 
die langfristig eine einfache, einheitliche 
Benutzer-Oberfläche erhalten soll. 

In Kommissionskreisen wurde gesagt, 
Etias wolle von Reisenden im Vergleich 
zu den Systemen in den USA, Kanada 
oder Australien nur „das absolute Mini- 
mum“ erfahren. Gefragt wird nach Per- 
sonal- und Adressdaten, ansteckenden 
Krankheiten, Vorstrafen, Aufenthalten 
in Kriegs- oder anderen Risikogebie- 
ten, Ausweisungen aus der EU, aber 
auch nach Ausbildung und Jobsituation. 
Schlägt das System an, sollen EU-Mitar- 
beitende oder nationale Behörden der Sa- 
che nachgehen. Diverse Sonderfälle, wie 
etwa Grenzgängerlnnen, würden berück- 
sichtigt, versichert die Kommission; In- 
ternet-Ferne oder Analphabeten können 
Vertreter mit der Anfrage beauftragen. 

Der Aufbau von Etias soll einmalig 
212 Millionen Euro kosten. Die jährli- 
chen Kosten von 85 Millionen sollen von 
den fünf Euro Gebühren gedeckt werden, 
die zwischen 30 bis 50 Millionen Rei- 
sende im Jahr pro Etias-Überprüfung be- 


zahlen müssen. Eine Genehmigung soll 
fünf Jahre lang gültig sein. Geplant ist, 
das System in drei Jahren in Betrieb zu 
nehmen. 

Die Grünen im EU-Parlament halten 
das System für unnötig. Es koste, so der 
Abgeordnete Jan Albrecht, zu viel und 
werde wenig Mehrwert bringen. Schließ- 
lich seien Bürger aus Staaten betroffen, 
die ohnehin diverse rechtsstaatliche Be- 
dingungen der EU erfüllen müssten und 
mit denen die EU schon polizeilich und 
justiziell zusammenarbeite. Ein solches 
System wiege die BürgerInnen nur in 
„schein-Sicherheit‘ und könne sogar we- 
niger Sicherheit bedeuten, weil dafür Ka- 
pazitäten bei der Ermittlung abgezogen 
würden. Monika Hohlmeier (CSU) wi- 
dersprach. Etias liefere den EU-Grenzbe- 
amten wertvolle Informationen. So kön- 
ne man nicht zuletzt Schwerverbrechern 
und Mitgliedern krimineller Netzwerke 
auf die Schliche kommen, die immer raf- 
finiertere Täuschungsmittel ersönnen und 
sich oftmals frei auf europäischem Ge- 
biet bewegen könnten: „Damit sind wir 
bisher zu locker umgegangen“ (Kirchner, 
Europa will’s wissen, SZ 17.11.2016, 8). 


Frankreich 


Innenminister schafft per 
Dekret Bevölkerungs- 
datenbank 


Der französische Innenminister 
Bernard Cazeneuve baut per Dekret, also 
ohne ausdrückliche Gesetzesgrundlage, 
eine neue Datenbank auf, in der die An- 
gaben der mehr als 60 Millionen Bürge- 
ıInnen zentral gespeichert werden, und 
zwar nicht nur Name, Geburtsdatum und 
Adressen, sondern auch biometrische Da- 
ten wie Fingerabdrücke aus Pässen und 
Ausweisen. Die Sicherheitsbehörden auf 
diese Daten online Zugriff nehmen kön- 
nen. per Knopfdruck abrufbar sein. Men- 
schenrechtlerInnen, DatenschützerInnen 
wie auch sozialistische Parteifreunde 
warnen vor Staatskontrolle und werfen 
Cazeneuve vor, er zeuge „eine Art Mons- 
ter“. Nach tagelangen Protesten kündigte 
dieser zwar Mitte November 2016 zwar 
einige Konzessionen an. So sollen seine 
Citoyens (Bürger) das Recht erhalten, bei 
der Beantragung ihrer nächsten „Carte 
d‘Identite“, des Personalausweises, der 
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Speicherung ihrer biometrischen Daten 
zu widersprechen. Zudem konzedier- 
te der Minister, Nationalversammlung 
sowie Senat sollten über seine Mega- 
Datenbank im Parlament beraten dürfen. 
Das ändert aber nichts daran, dass Caze- 
neuves Dekret in Kraft bleibt. 

Der leise und meist unauffällig agie- 
rende Innenminister rechtfertigt die 
Datenbank als Mittel im Kampf gegen 
organisierte Kriminalität und Terroris- 
mus. Das Dekret wurde im Laufe des 
Ferienwochenendes vor Allerheiligen im 
Amtsblatt veröffentlicht, was Argwohn 
sogar innerhalb des Kabinetts schürte: 
Cazeneuves Kollegin Axelle Lemaire, 
für Datenschutz zuständige Staatsminis- 
terin, fühlte sich hintergangen und sprach 
von einer „klammheimlichen Entschei- 
dung“. Lemaire lenkte inzwischen ein, 
auch weil das Innenministerium zusagte, 
das Zentralregister namens TES (Titres 
Electroniques Securises) werde von un- 
abhängigen ExpertInnen überprüft, ob 
es hinreichend gegen Hackerangriffe ge- 
schützt sei. Seit dem 08.11.2016 ist TES 
probeweise in Betrieb. 

Die Sorge vor Missbrauch ist äußerst 
gegenwärtig. Selbst Frankreichs Daten- 
schutzbehörde, die Commission Nati- 
onale de I’Informatique et des Libertes 
(CNIL), befürchtet Missbrauch seitens 
des Staats. Zwar beteuert Minister Ca- 
zeneuve, die Datenbank diene dazu, bei 
Kontrollen die Angaben von Bürgerln- 
nen zu beglaubigen. Die weiter reichende 
Identitätsermittlung eines Unbekannten, 
etwa per Abgleich von Fingerabdrücken, 
sei untersagt. Dies beruhigte die CNIL 
nicht. Die französische Regierung hatte 
schon bei anderen Datenbanken nach- 
träglich die Nutzungsmöglichkeiten 
durch Polizei oder Geheimdienst erwei- 
tert. Zudem sei die Gefahr des Miss- 
brauchs der Datenbank durch eine an- 
dere, autoritäre Regierung heute größer 
denn je: „Demokratische Rückschläge 
sowie das Anwachsen des Populismus, 
wie wir ihn in Europa und den Verei- 
nigten Staaten beobachten, machen dies 
zu einer wahnwitzigen Wette auf die 
Zukunft.“ Die CNIL hatte offenbar Ma- 
rine Le Pen vor Augen, die Vorsitzende 
von Frankreichs Front National. Donald 
Trump war bei Verfertigung des Gutach- 
tens noch nicht gewählt. Inzwischen kün- 
digten einzelne BürgerInnen sowie die 
Liga für Menschenrechte an, gegen Ca- 
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zeneuves Daten-Dekret vor dem Staats- 
rat zu klagen (Wernicke, Angst vor dem 
Daten-Monster, SZ 12./13.11.2016, 8). 


Belgien 


Identifikationspflicht bei 
europainternen Reisen 


Aus Angst vor neuen Terroranschlägen 
will die belgische Regierung ab 2018 
Reisende auch innerhalb der EU stren- 
ger kontrollieren. Danach müssen sich 
nicht nur Flugpassagiere registrieren las- 
sen, sondern auch alle Personen, die mit 
Bus, Bahn oder Schiff ins europäische 
Ausland fahren. Nach Ansicht des belgi- 
schen Innenministers Jan Jambon hat die 
Flucht des mutmaßlichen Terrorattentä- 
ters auf dem Weihnachtsmarkt in Berlin 
gezeigt, dass ein Tatverdächtiger offen- 
bar ohne Probleme mehrere Grenzen 
passieren konnte. Der Berlin- Attentäter 
war mit Regionalzügen unterwegs, weil 
man z. B. in französischen Schnellzügen 
schon heute namentlich gekennzeichnete 
Platzkarten benötigt. Angesichts dieser 
Tatsache, so der Minister, könnten nun 
auch andere Länder vom Nutzen einer 
EU-weiten Passagierdaten-Erfassung bei 
international verkehrenden Zügen, Bus- 
sen und Booten überzeugt werden. 

In Belgien hat die Abgeordnetenkam- 
mer kurz vor Weihnachten ein entspre- 
chendes Gesetz gebilligt. Demnach soll 
die vom EU-Parlament 2016 beschlos- 
sene Speicherung von Fluggastdaten von 
Mai 2018 an auch für andere Verkehrs- 
mittel gelten. Bahn-, Bus- und Fährge- 
sellschaften, die ihrer Meldepflicht nicht 
nachkommen, riskieren eine Geldbuße 
von bis zu 50 000 Euro pro nicht erfolg- 
ter Registrierung. Für die KundInnen hat 
dies voraussichtlich längere Wartezeiten 
zur Folge. Auch die Möglichkeit, kurz 
vor Abfahrt in einen Zug zu springen, 
wird es dann wohl nicht mehr geben. Die 
Passagiere müssten sich beim Kauf der 
Fahrkarte ausweisen. 

Die EU-Kommission erörterte die 
praktischen Auswirkungen mit der bel- 
gischen Regierung. Sie gab das Signal, 
dass sie nichts dagegen hat, so ein Kom- 
missionssprecher: „Die Mitgliedsstaaten 
können ein System für die Erhebung und 
Verarbeitung von Passagierdaten auch 
für andere Verkehrsträger als den Luft- 


verkehr vorsehen, wenn das nationale 
Recht dem EU-Recht entspricht.“ Der für 
Sicherheitsfragen zuständige EU-Kom- 
missar Julian King erklärte anlässlich 
des Dreikönig-Klausurtreffens der CSU- 
Landesgruppe im Kloster Seeon: „Das ist 
ein legitimes Anliegen.“ Die belgische 
Regierung hat angekündigt, vor dem 
tatsächlichen Inkrafttreten des Gesetzes 
mit den Nachbarstaaten zu sprechen, so 
Jambon: „Wir befinden uns in Gesprä- 
chen mit Niederlanden, Frankreich und 
Deutschland“. Es sei wichtig, dass sich 
möglichst viele Länder beteiligen. Bel- 
gien versteht sich, auch wegen der Ter- 
roranschläge von Brüssel im März 2016, 
als Vorreiter in Sicherheitsfragen. Ein 
Sprecher des Innenministeriums meinte: 
„Terroristen wählen den Weg des ge- 
ringsten Widerstands.“ 

Der europäische Bahnverband CER 
hat in einem Protestbrief an den belgi- 
schen Premierminister Charles Michel 
vor negativen Konsequenzen gewarnt. 
Es seien gerade die Flexibilität und der 
offene Zugang, die das Bahnfahren at- 
traktiv machten. Datenerhebung und 
Kontrolle seien derart aufwändig, dass 
dadurch Menschen vergrätzt und zum 
Ausweichen auf das Auto veranlasst 
würden. Gemäß CER läuft die Maßnah- 
me dem Schengener Abkommen über 
grenzkontrollfreies Reisen in Europa zu- 
wider. Auch die Deutsche Bahn kritisiert, 
das Vorhaben habe „weitreichende Aus- 
wirkungen auf den Eisenbahnverkehr 
zwischen Deutschland und Belgien und 
könnte die Freizügigkeit unserer Kunden 
in Frage stellen“ (Mühlauer, Belgien ver- 
schärft Kontrollen für Reisen, Steinke, 
Viele kleine Niederlagen, SZ 03.01.2016, 
1,4; Belgien darf Züge kontrollieren, Der 
Spiegel 2/2017, 20). 


Niederlande 


360-Grad-Handgepäck- 
scanner für Flughafen- 
kontrollen 


Am Flughafen von Amsterdam Schip- 
hol wird ein neuer Gepäck-Scanner ge- 
testet, bei dem es nicht mehr nötig sein 
soll, den Laptop und die Creme aus dem 
Handgepäck herauszuholen. Er ermög- 
licht es dem Sicherheitspersonal, den In- 
halt der Taschen oder Rucksäcke auf dem 
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Bildschirm in einer 360-Grad-Umsicht 
zu inspizieren. Für die Reisenden soll 
sich der Vorteil ergeben, dass möglicher- 
weise problematische Stücke nicht mehr 
ausgepackt werden müssen. Bisher sollen 
nach Fachmedienberichten zwei solcher 
Stationen in Betrieb sein. Die Vorschrift, 
Cremes, Zahnpasta und Ähnliches in 
einer Plastiktüte von maximal 100 Mil- 
liliter verstauen zu müssen, bleibt vor- 
läufig bestehen. Der Test soll bis Ende 
2017 laufen (Neue Scanner im Test, SZ 
17.11.2016, 39). 


Großbritannien 


Investigatory Powers Bill 
in Kraft 


Nach Zustimmung der Queen ist mit 
dem Investigatory Powers Bill (bzw. Act 
— IPB bzw. IPA) in Großbritannien eines 
der weltweit weitestgehenden Überwa- 
chungsgesetze in Kraft getreten. Es ver- 
pflichtet unter anderem Internetanbieter 
dazu, für jede KundIn eine Liste aller 
besuchten Internetseiten zwölf Monate 
lang zu speichern. Nach richterlicher An- 
ordnung müssen selbst die Listen kon- 
taktierter Telefonnummern und aufgeru- 
fener Internetseiten von JournalistInnen 
ausgehändigt werden. Das Gesetz gibt 
Sicherheitsbehörden die Erlaubnis, selbst 
zu Hackern zu werden und massenhaft 
Überwachungsdaten zu sammeln. Nach- 
dem eine Petition gegen das Gesetz ge- 
nügend Unterzeichnende gefunden hat, 
muss sich aber das Parlament noch ein- 
mal damit befassen. 

Kommunikationsanbieter müssen 
künftig technische Schutzmaßnahmen 
beseitigen, um Behörden den Zugriff auf 
Inhalt zu ermöglichen. Dies kann in der 
Form erfolgen, dass Entwickler künftig 
Hintertüren oder Schwachstellen in ei- 
gene Produkte einbauen, über die ihre 
KundInnen überwacht werden können. 
Einige nach anfänglicher Kritik einge- 
flossene Änderungen haben die damit 
verbundenen Eingriffsmöglichkeiten 
nicht entscheidend abgeschwächt. 

Die britische Innenministerin Amber 
Rudd lobte das Gesetz nach seinem In- 
krafttreten als „weltweit führende Ge- 
setzgebung“, die „bislang unerreichte 
Transparenz“ mit „grundlegendem Da- 
tenschutz“ verbinde. Dem widersprechen 
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Datenschützer vehement. So nennt die 
Open Rights Group den IPA als eines 
der extremsten Überwachungsgesetze, 
die jemals in einer Demokratie verab- 
schiedet wurden. Seine Auswirkungen 
würden weltweit zu spüren sein, wenn 
sich autoritäre Regime dadurch zu ähnli- 
chen Maßnahmen ermuntert fühlen (Hol- 
land, Großbritannien: Massives Über- 
wachungsgesetz inkraft getreten, www. 
heise.de 30.11.2016; vgl. DANA 1/2016, 
30 f., DANA 3/2016,146). 


Großbritannien 


Test mit Identifizierungs- 
pflicht bei Wahlen 


Die britische Regierung plant die Ein- 
führung einer formellen Identifizierung 
bei Wahlen. Bisher mussten die Wäh- 
lerInnen im Wahllokal weder Ausweis 
noch Wahlkarte vorlegen. Es genügte, 
den Namen anzugeben, der im Wählerre- 
gister verzeichnet war — idealerweise den 
eigenen. Es war bisher jederzeit möglich, 
einen anderen anzugeben. Da dieses Sys- 
tem vereinzelt zu Missbrauch geführt hat, 
soll es geändert werden. Die britische 
Regierung erklärte am 27.12.2016, zu- 
nächst solle in 18 Wahlbezirken getestet 
werden, wie sich die Pflicht zur Identifi- 
zierung in der Praxis umsetzen lässt. Bei 
den Kommunalwahlen im Mai 2018 wer- 
den in ausgewählten Bezirken verschie- 
dene Methoden getestet. In manchen 
Wahllokalen soll der Reisepass vorgelegt 
werden müssen, in manchen der Führer- 
schein oder die Kreditkarte, in anderen 
soll der Nachweis über offizielle Korre- 
spondenz wie Strom- oder Gasrechnun- 
gen erfolgen. Erweisen sich die Tests als 
Erfolg, soll die Pflicht zur Identifikation 
landesweit eingeführt werden. 

Hintergrund der Problematik bei der 
Wähleridentifikation ist, dass, anders als 
z. B. in Deutschland, in Großbritannien 
keine Ausweispflicht besteht. Viele Brit- 
ten verfügen über keinen Pass und über- 
haupt über keinerlei offizielles Ausweis- 
dokument. Die Labour-Regierung hatte 
2008 nach jahrelangen Diskussionen 
eine Art Personalausweis eingeführt, den 
die Konservativen nach ihrem Wahlsieg 
gleich wieder abschafften (vgl. DANA 
2/2008, 82; 3/2019, 116; 4/2010, 158 £.). 
Je nachdem, welche Form von Identi- 


tätsnachweis eingeführt wird, könnten 
daher BürgerInnen künftig von den Wah- 
len ausgeschlossen sein. Menschen ohne 
Pass und Führerschein gehören i. d.R. zu 
den ärmeren und bildungsfernen Schich- 
ten, also jenen, die sich ohnehin von der 
Politik abgehängt fühlen (Zaschke, Aus- 
weis bitte, London testet Ausweispflicht, 
SZ 28.12.2016, 4, 11). 


Großbritannien 


Facebook gegen Daten- 
nutzung durch Versiche- 
rung 


Der britische Versicherer Admiral 
wollte im Gegenzug für günstigere KfZ- 
Tarife die Facebook-Profile seiner Kun- 
dInnen auswerten. Da junge Autofah- 
rerInnen in der Regel höhere Versiche- 
rungsbeiträge zu zahlen haben, hatte sich 
Admiral zur Risikobewertung Folgendes 
überlegt: Die jungen Menschen erhalten 
unter der Überschrift „Firstcarquote‘“ 
Vergünstigungen, wenn sie sich bereit 
erklären, dass ihr Facebook-Profil durch- 
leuchtet wird. Das Unternehmen erklärt, 
daraus ließen sich nicht nur Rückschlüs- 
se auf dessen Kreditwürdigkeit ziehen, 
sondern auch auf dessen Fahrverhalten: 
„Unsere clevere Technologie erlaubt es 
uns vorherzusagen, wer wahrscheinlich 
ein sicherer Fahrer ist“, heißt es weiter in 
der Mitteilung. 

Admiral wollte die Facebook-Profile 
der KundInnen dahingehend untersu- 
chen, ob diese gewissenhaft und gut or- 
ganisiert erscheinen. Hinweise hierauf 
sollen sein, wenn die User kurze, konkre- 
te Formulierungen verwendeten und bei- 
spielsweise bei Terminvereinbarungen 
konkrete Angaben zu Ort und Zeit mach- 
ten, anstatt einfach nur „heute Abend“ zu 
sagen. Den KundInnen, die sich hierzu 
bereit erklären, sollten Preisnachlässe bis 
zu 15% gewährt werden. Noch größer 
würde der Rabatt ausfallen, wenn sich die 
jeweiligen KundInnen zur Installation ei- 
ner Blackbox in ihr Auto bereit erklären 
würden. 

Gemäß Pressemeldungen hat Face- 
book diesen Plänen einen Riegel vorge- 
schoben. Zwar dürfe der Versicherer die 
Facebook-Accounts zur Kundenverifi- 
kation verwenden, nicht jedoch, die Ac- 
counts der Facebook-User auszuwerten, 
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um hieraus Rabatte zu errechnen. Ein 
Facebook-Sprecher begründete dies mit 
Verweis auf Datenschutzbestimmungen 
(Thaler, Datenschutz: Facebook schiebt 
Versicherer-Plänen Riegel vor, www. 
procontra-online.de 02.11.2016). 


USA-Europa 


Trump verunsichert 
Datenschützer 


Datenschutz ist zwischen den USA 
und der EU schon traditionell ein müh- 
sames Geschäft. Jetzt wächst die Unsi- 
cherheit, was die Trump-Regierung will. 
Der am 20.01.2017 ins Amt eingeführte 
US-Präsident Donald Trump hat es mit 
einem seiner Erlasse, einer „Executive 
Order“ zur Verschärfung der Einwande- 
rungspolitik, auch sein erstes offizielles 
Statement zum Datenschutz abgegeben. 
Er hat die Behörden in den USA, für die 
der Privacy Act gilt, aufgefordert, den 
Datenschutz für Nicht-US-Bürger auf- 
zuheben, „soweit das mit dem Gesetz 
vereinbar ist“. Unklar ist nun, ob auch 
das Klagerecht von EU-Bürgern nach 
dem Juridical Redress Act“, der erst im 
Februar 2017 in Kraft tritt, zurückge- 
nommen werden soll. Unklar ist auch, 
inwieweit die Datenschutzvereinbarung 
des EU-U.S.-Privacy Shield von die- 
ser Einschränkung betroffen ist, die ja 
keine Gesetzeskraft hat. Eine Regelung 
des Datenschutzes ist für den Austausch 
von Daten in privaten Unternehmen 
über den Atlantik sehr wichtig. Sie war 
nötig geworden, weil der Europäische 
Gerichtshof 2015 eine Neuregelung 
des löchrigen Datenschutzes verlangt 
hatte. Betroffen ist auch der Zugriff 
amerikanischer Geheimdienste und Er- 
mittlungsbehörden auf diese Daten. Das 
Privacy Shield ist kein richtiger Vertrag, 
sondern nur eine Verabredung zwischen 
der alten US-Regierung und der EU- 
Kommission in Brüssel. Rund 1.500 
US-Unternehmen nutzten Ende Januar 
2017 die Datenschutzvereinbarung für 
ihre europäischen Geschäfte. Würde 
es die Regelung nicht geben, dürften 
zum Beispiel Facebook, Google, Ama- 
zon und andere die Daten europäischer 
KundInnen nur noch auf geschützten 
Servern in Europa verarbeiten und auch 
nur hier verkaufen. 
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Der Datenschutz-Experte des Europä- 
ischen Parlaments, der grüne Abgeord- 
nete Jan Philipp Albrecht, hat —- mit dem 
Medium Trumps, also Twitter — reagiert: 
„Wenn das zutrifft, dann muss die EU- 
Kommission ‚Privacy Shield‘ sofort 
aussetzen und die USA bestrafen.“ Nach 
US-Presseberichten soll sich der Erlass 
des Präsidenten nicht auf den Daten- 
schutz für EU-BürgerInnen beziehen. 
Der sei eher als Warnung an Einwan- 
derer aus Nicht-EU-Staaten gemeint 
gewesen. Die für den Datenschutz und 
damit auch das Privacy Shield haupt- 
verantwortliche EU-Justizkommissarin 
Vera Jourova meinte: „Wir fragen uns 
alle, was da in den USA vorgeht. Auf 
jeden Fall werden wir unsere Daten- 
schutz-Standards nicht absenken. Das 
ganze Abkommen mit den USA basiert 
auf Vertrauen — Vertrauen in die ame- 
rikanische Regierung. Und dieses Ver- 
trauen muss erst einmal erneuert oder 
hergestellt werden.“. Zu diesem Zweck 
hat sie einen Brief an die US-Regierung 
gesendet und um Klarstellung gebe- 
ten. Die Kommissarin will März/April 
2017 nach Washington reisen, um sich 
mit ihren neuen Verhandlungspartnern 
in der Trump-Administration, dem de- 
signierten Handelsbeauftragten Wilbur 
Ross und möglichst auch mit dem neu- 
en Justizminister, zu treffen. Sie hoffe, 
so Jourova, auf gute Gespräche in Wa- 
shington, werde aber „sehr strikt“ sein, 
wenn es um Datenschutz gehe. 

Laut US-Presseberichten will Trump 
auch, dass Einreisende in die USA ihre 
Social-Media-Profile, Telefonkontakte 
und Websites offenlegen. AusländerlIn- 
nen, die sich weigern, ihre Informatio- 
nen zu teilen, solle nach dem Wunsch 
Trumps die Einreise verweigert werden 
können. Dieses Vorhaben habe bislang 
aber erst eine niedrige Diskussions- 
ebene. Grund für diesen Plan sei der 
San-Bernadinho-Terrorist Tashfeen 
Malik, der unter einem Pseudonym und 
erhöhter Privatsphäre in sozialen Me- 
dien vor seinem Anschlag den Jihad 
gefordert hat. Ende 2016 wurde bereits 
eine ähnliche umstrittene Änderung in 
der Informationsabfrage bei Touristen 
umgesetzt. Personen, die im Rahmen 
des Visa-Waiver-Programms einreisen, 
finden im dafür notwendigen ESTA- 
Antrag ein Drop-Down-Menü, das nach 
deren Social-Media-Profilen fragt. Die 


Eingabe ist allerdings bisher optional. 
Unter Trump könnte sich diese Regel 
verschärfen. Der Regierungssprecher 
Sean Spicer gab auf CNN-Anfrage kei- 
nen Kommentar zu dem aktuellen Be- 
richt. 

Die Maßnahme dient gemäß einem 
Sprecher dazu, dass „potenzielle Ge- 
fahren identifiziert“ werden. Access 
Now, eine Non-Profit-Organisation für 
Menschenrechte im digitalen Zeitalter, 
befürchtet aber, dass sich TouristIn- 
nen schon jetzt eingeschüchtert fühlen 
und die Accounts zur Sicherheit an- 
geben. Datenschützer hatten schon im 
Juli 2016 befürchtet, dass auch andere 
Länder ähnliche Einreisebestimmungen 
umsetzen werden (Riegert, EU rätselt: 
Attackiert Trump den Datenschutz?, 
http://www.dw.com/de 27.01.2017; 
Trump will, dass Einreisende ihre Soci- 
al-Media-Profile, Telefonkontakte und 
Websites offenlegen, t3n.de 30.01.2017; 
Oberndorfer, Social-Media-Accounts 
beim ESTA-Antrag, t3n.de 23.01.2017). 


USA 


Berufungsgericht: Kein 
Behördenzugriff auf in Ir- 
land gespeicherte Daten 


Ein Bundesberufungsgericht der Ver- 
einigten Staaten (United States Court of 
Appeals for the Second Circuit) hat am 
24.01.2017 entschieden, den Fall Mi- 
crosoft gegen die US-Regierung nicht 
erneut aufzurollen, so dass sein Urteil 
vom 14.07.2016, nach dem Microsoft 
im Ausland gespeicherte Kommunika- 
tionsinhalte von Kunden nicht an Straf- 
verfolger ausliefern muss, weiterhin Be- 
stand hat. 

In dem langjährigen Rechtsstreit geht 
es ursprünglich um eine Aufforderung 
von US-Behörden an Microsoft aus 
dem Jahr 2013, ihnen E-Mails eines 
mutmaßlichen Drogenschmugglers aus- 
zuhändigen. Microsoft stellte nur die in 
den USA gespeicherten Account-Daten 
zur Verfügung und weigerte sich, die in 
Irland gespeicherten E-Mails herauszu- 
geben, da der von einem New Yorker 
Bezirksrichter unterschriebene Durch- 
suchungsbefehl im Ausland nicht gültig 
sei. Die Regierung hatte argumentiert, 
Microsoft habe Zugriff auf die Inhal- 
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te; deshalb seien diese als in den USA 
verblieben zu betrachten. Ein Bundes- 
gericht gab zunächst der US-Regierung 
Recht, doch wurde dieses Urteil im Juli 
2016 aufgehoben. 

Die Entscheidung war damals durch- 
aus knapp, ein Richter der zuständigen 
Kammer votierte für die Sichtweise der 
US-Regierung, zwei für den von der 
Electronic Frontier Foundation unter- 
stützten IT-Riesen. Das US-Justizminis- 
terium hatte daraufhin beantragt, dass 
der Fall nochmal in einer sogenannten 


Software manipuliert 
Sprachaufnahmen 


Eine neue Software von Adobe ist 
in der Lage, Sprachaufnahmen so ver- 
ändern, dass ein Mensch etwas völlig 
anderes zu sagen scheint als im Ori- 
ginal. Damit ergeben sich völlig neue 
Möglichkeiten für Fälschungen, Ver- 
zerrungen, Lügen und Manipulationen 
in Tondokumenten. Adobe präsentierte 
in San Diego/USA das Programm, mit 
dem in der Stimme einer beliebigen 
Person Worte und ganze Sätze geformt 
werden können. Das Projekt mit dem 
Titel „VoCo“ ist bisher noch nicht auf 
dem Markt frei verfügbar. Mit der Soft- 
ware könnten Tonaufnahmen massen- 
haft gefälscht, verändert, umgeschrie- 
ben werden, so wie dies heute bereits 
bei Bildern der Fall ist. Nahezu alle 
Fotos, die ein Mensch im öffentlichen 
Raum sieht, sind heute bereits bear- 
beitet, die meisten davon übrigens mit 
einem anderen Produkt von Adobe, der 
weit verbreiteten Software Photoshop. 

Bei der Software-Präsentation ver- 
änderte ein Adobe-Manager auf der 
Bühne aufgezeichnete Sätze, die ein 
Komiker nur Minuten vorher auf der 
Bühne ausgesprochen hatte. Zunächst 
verschob der Manager lediglich Wor- 
te innerhalb der aufgenommenen Sät- 
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„en banc“-Session von allen Richtern 
des zweiten Bezirks des Berufungsge- 
richts geprüft wird. Dieser Antrag ist 
aufgrund eines Patts unter den Richtern 
jetzt gescheitert: Vier von ihnen stimm- 
ten für den Antrag und vier dagegen. Es 
ist zu vermuten, dass das Justizministe- 
rium nun vor den Obersten Gerichtshof 
zieht. 

Wie lange der als Erfolg für den Da- 
tenschutz gefeierte Sieg des Technolo- 
gie-Konzerns bestand hat, ist fraglich. 
Die Entscheidung des Gerichts beruhte 


ze des Komikers. Das ist mithilfe von 
Schnittprogrammen seit Jahren mög- 
lich. Dann aber fügte der Adobe-Ma- 
nager ganz neue Worte, die er in eine 
Tatstatur schrieb, in den Satz des Ko- 
mikers ein. Die Software gab die Worte 
in der Stimme des Komikers über einen 
Lautsprecher aus und vermittelte über 
den Rhythmus des gesamten Satzes 
den Eindruck normaler Sprache. Die 
Software benötigt dazu nach Angaben 
von Adobe lediglich etwa 20 Minuten 
Tonbandaufnahme von der Person, 
deren Worte sie imitieren soll, sowie 
ein Transkript des Gesprochenen. Sie 
zerlegt die Worte in einzelne Laute, 
aus denen sie wiederum neue Wörter 
zusammenbauen kann. Die Computer- 
Stimme kann dann Worte formulieren, 
die die imitierte Person nie ausgespro- 
chen hat und ist dabei von der Original- 
Stimme kaum zu unterscheiden. 

Die Konsequenzen dieser Entwick- 
lung sind nicht absehbar. Gefälschte 
Geständnisse in Prozessen, manipulier- 
te Aussagen von Politikern oder Wirt- 
schaftsführern, erlogene Interviewaus- 
sagen — all das liegt im Bereich des 
Möglichen. Die Entwicklung kommt 
zu einem Zeitpunkt, zu dem Manipu- 
lation für viele Menschen und auch 
Staaten ein politisches Werkzeug ist. 
Fake-News haben den US-Präsident- 
schaftwahlkampf massiv beeinflusst. 


nicht auf grundsätzlichen Bedenken 
in Hinblick auf den Schutz der Privat- 
sphäre, sondern lediglich auf formalen 
Bedenken. Die Richter stellten fest, dass 
negative Konsequenzen der Entschei- 
dung für die nationale Sicherheit Ge- 
setzesverschärfungen nach sich ziehen 
könnten (Dachwitz, US-Gericht: Mi- 
crosoft muss im Ausland gespeicherte 
Mails weiterhin nicht an Strafverfolger 
liefern, netzpolitik.org 25.01.2017; Sieg 
für Microsoft, SZ 26.01.2017, 21). 


UT slolLaNF-Tel/alalejait-Ya | 


Die russische Regierung manipuliert 
mit einer Propaganda-Einheit bereits 
heute systematisch Bilder. Auch Berufe 
dürften sich verändern, wenn die Soft- 
ware auf den Markt kommt. Nachrich- 
ten- und SynchronsprecherInnen sowie 
SchauspielerInnen könnten es als Ers- 
te merken. Man könnte gleich ganze 
Filmskripte neu einsprechen, was zeit- 
und ressourcensparend wäre. Auch 
werden wohl neue Aufgaben entstehen, 
etwa die der Ton-Forensikerln, die un- 
tersucht, ob eine Aufnahme gefälscht 
oder authentisch ist. Auch hierbei 
könnte Software, so heißt es bei Adobe, 
helfen (Boie, Unerhört, SZ 08.11.2016, 
1; Computer können ab jetzt eure Stim- 
me perfekt imitieren, www.galileo.tv 
14.11.2016). 


Software bewertet Ver- 
trauenswürdigkeit 


Für Computer ist es eine gewalti- 
ge Herausforderung, Gesichter bzw. 
Bilder von Gesichtern zu interpretie- 
ren. Ein Team um Mel McCurrie von 
der amerikanischen Universität Notre 
Dame hat eine Software geschrieben, 
mit der das menschliche Gegenüber 
auf den ersten Blick per Algorithmus 
erfolgreich eingeschätzt werden soll. 
Sie bewertet die Vertrauenswürdigkeit 
von Personen auf einem Foto, ihr Al- 
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ter, den Intelligenzquotienten und wie 
dominant jemand wirkt. 

Maschineller „Menschenkenntnis“ 
scheiterte bisher daran, dass unklar 
war, wie Menschen zu ihren Urteilen 
über andere kommen. Es sind subtile 
Zeichen, Mimik, Blickrichtung der 
Augen, Haltung des Kopfes, die Sig- 
nale geben, wie jemand bewertet wird. 
Auch Psychologen können dazu nur 
mutmaßen. 

Um dieses Problem mit Computern 
zu „lösen“, nutzten die Forschenden 
das Urteil Hunderter menschlicher 
Probanden als Basis. Sie zeigten Besu- 
cherInnen der Website testmybrain.org 
6.000 Fotos von fremden Personen und 
die Probanden bewerteten die Bilder 
danach, wie alt, intelligent, dominant 
oder vertrauenswürdig die Personen ih- 
nen erschienen. Mit der so gewonnenen 
Informationen trainierten die Informa- 
tikerInnen ein neuronales Netzwerk. 
Die Maschine lernte, zu einem ähnli- 
chen ersten Eindruck von Fremden zu 
kommen wie Betrachtende, ohne zu 
wissen, wie dieser Eindruck zustande 
kommt. Der entwickelte Algorithmus 
bewertet nun auch neue Fotos. 

Neuronale Netze lassen sich vielfäl- 
tig nutzen. Ein ähnlicher Algorithmus 
hat nach der Aufarbeitung von 140.000 
Bildern der Plattform Amazon gelernt, 
Bücher anhand ihres Covers in das 
richtige Genre einzuordnen. Ein Team 
der TU München bringt gerade einer 
Autosoftware bei, Baustellen auf der 
Straße zu erkennen. Dafür analysiert 
das System unzählige Verkehrssituati- 
onen und erschließt sich daraus selbst 
die Merkmale, die auf eine Baustelle 
hinweisen, wie etwa spitze Hütchen 
oder gelbe Markierungen. 

Der Vertrauens-Algorithmus ist bis- 
lang Grundlagenforschung. Die US- 
InformatikerInnen zeigen aber mög- 
liche Anwendungen: So überprüften 
sie die Software mit Fotos des Wikile- 
aks-Chefs Julian Assange, des Whist- 
leblowers Edward Snowden sowie 
der beiden Schauspieler, welche die 
Aktivisten in Filmen verkörpern. Der 
Algorithmus schätzte für beide Paare 
Vertrauenswürdigkeit, IQ, Alter und 
Dominanz fast identisch ein. Die Fil- 
memacher hatten also aus Computer- 
sicht die Rollen gut besetzt (Behrens, 
Blick ins Innerste, SZ 11.11.2016, 1). 
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Chemotest bei Alltags- 
gegenständen 


Aus den fettigen Abdrücken z. B. auf 
dem spiegelglatten Display eines Mo- 
biltelefons lässt sich herauslesen, ob der 
Besitzer ein Mann oder eine Frau ist, 
welches Shampoo die Person zum Haa- 
rewaschen benutzt oder welche Medi- 
kamente sie wie gewissenhaft schluckt. 
Jeder Fingerabdruck hinterlässt nicht 
nur das Rillenmuster des Hautreliefs, 
sondern auch eine Vielzahl von Chemi- 
kalien, die von der Forensik identifiziert 
werden können. Ein internationales For- 
schungsteam hat eine Methode entwi- 
ckelt, um die chemische Interpretation 
des Fingerschmiers zu verfeinern. In 
einem Fachjournal beschreibt das Team, 
wie sich aus den minimalen mensch- 
lichen Spuren auf glatten Oberflächen 
Rückschlüsse auf dessen Lebensweise 
ziehen lassen. 

Amina Bouslimani von der Universi- 
ty of California in San Diego beschreibt 
„Haut-assoziierte Lebensstil-Chemika- 
lien“, die sie und ihre KollegInnen auf 
Alltagsgegenständen entdeckt haben. 
Von 39 Probanden nahmen sie Abstri- 
che von den Händen und vom Mobil- 
telefon. Allein anhand der chemischen 
Spuren auf der Geräteoberfläche konn- 
ten die Forschenden die Telefone ihren 
BesitzerInnen zuordnen. Wischproben 
von der Rückseite des Geräts lieferten 
dabei bessere Ergebnisse — mit einer 
Trefferquote von bis zu 85%. Bei der 
Überprüfung, was für Chemikalien sie 
auf den Oberflächen gefunden hatten, 
wies das Team Arzneimittelrückstände 
nach, unterschied verschiedene Kosme- 
tikprodukte und identifizierte Umwelt- 
chemikalien. Bei einer Versuchsperson 
fanden sie Rückstände von Sonnen- und 
Feuchtigkeitscremes, Parfum und In- 
sektenschutzmittel. Aus einem solchen 
chemischen Profil lasse sich folgern, 
dass die Spuren recht wahrscheinlich 
von einer Frau stammen, die sich viel 
im Freien aufhält. Bei einem anderen 
Probanden entdeckten die Chemiker 
mithilfe ihres Massenspektrometers, das 
Chemikalien anhand ihres Molekularge- 
wicht unterscheiden kann, Spuren eines 
Antidepressivums und von Kunststoff- 
weichmachern. In einem weiteren Fall 
spürten die Forschenden Haarwuchsmit- 
tel, Koffein und Hautcremes auf. 


Bereits früher war es der Forensik 
gelungen, in Fingerabdrücken Chemi- 
kalienreste nachzuweisen. Auch Krank- 
heiten hinterlassen eine eigene chemi- 
sche Signatur im Fingerabdruck, die 
sich messen lässt. Damit die Methode 
aber wirklich nützlich wird, müssten 
Datenbanken mit Referenzwerten auf- 
gebaut werden, in denen die Ermitt- 
lungsbehörden abgleichen können, 
was ihre Massenspektrometer in den 
Proben gefunden haben. Bouslimanis 
Team konnte bislang nur 2,3% der Che- 
mikalien eindeutig identifizieren, weil 
sie nur diese in den bestehenden Da- 
tenbanken finden konnten. Bouslimani 
und ihre KollegInnen bezeichnen die 
Arbeit als Machbarkeitsstudie. Künftig 
könnte die Forensik-Methode helfen, 
sehr detaillierte Profile gesuchter Täte- 
rInnen zu erstellen. Ein Fingerabdruck 
ließe sich vielleicht fast so lesen wie 
ein Lebenslauf. Die ChemikerInnen se- 
hen darin auch einen Weg, um etwa zu 
kontrollieren, ob PatientInnen ihre Me- 
dikamente regelmäßig einnehmen, ohne 
ihnen Blut abnehmen zu müssen, oder 
um die Belastung eines Menschen mit 
gesundheitsgefährdenden Chemikalien 
zu messen (Charisius, Das menschliche 
Schmierom, SZ 16.11.2016, 16). 


Billig-Flatcam eröffnet 
neue Perspektiven der 
Bilderfassung 


US-WissenschaftlerInnen der texani- 
schen Rice-Universitä/USA forschen 
an einem Kameraprinzip, das ohne Ob- 
jektiv auskommt. Die sogenannte Flat- 
cam ist flacher als eine Kreditkarte. Sie 
könnte im Internet der Dinge, in der 
Überwachungstechnik und Mikroskopie 
eingesetzt werden. Die sogenannte Flat- 
cam, an der geforscht wird, hat ungefähr 
den Durchmesser einer Ein-Cent-Münze 
und ist flacher als eine Kreditkarte. Der 
Fotografie-Chip macht auch Foto- und 
Videoaufnahmen, wenn er verbogen 
wird. Die Mikrotechnik könnte beste- 
hende Überwachungskameras ersetzen 
und diese quasi unsichtbar machen. 
Eingenäht in die Dienstkleidung von 
Polizisten wäre mehr Transparenz über 
deren Einsätze möglich. Für die mobi- 
le Technik der Zukunft, die möglicher- 
weise biegbar sein wird wie das Reflex 
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Smartphone, könnte die Flatcam die 
Selfies liefern. 

Der Professor für Computerwissen- 
schaften Richard Baraniuk, Initiator des 
Projekts, erklärt den Grundgedanken: 
„Gewöhnliche Kamerasysteme fangen 
Licht durch ein Objektiv ein, das in einer 
gewissen Distanz zum Fotofilm oder der 
Sensorplatte stehen muss. Je kleiner die 
Kameras gebaut werden, desto geringer 
wird der Lichteinfall und letztendlich 
die Bildqualität. Die neue Technologie 
soll diese Einschränkung nun umgehen: 
Sein Team wolle „Objektive durch Al- 
gorithmen ersetzen“ und so die Fotogra- 
fie revolutionieren: „Neben der Minia- 
turform hat die Flatcam den Vorteil sehr 
geringer Produktionskosten, da wenig 
Material und keine Montage benötigt 
werden“. Wenn sie einmal in Serie pro- 
duziert werde, könnten die Stückkosten 
im Centbereich liegen. 

Die Grundidee für die High-Tech-Ent- 
wicklung stamme aus den Anfängen der 
Fotografie. Schon vor fast 200 Jahren 
hat Joseph Nicephore Niepce nach dem 
Lochkameraverfahren die ersten Foto- 
grafien ohne Objektiv hergestellt. Dabei 
wird eine Holzkiste auf einer Seite mit 
einem stecknadelgroßen Loch versehen; 
auf der gegenüberliegenden Innenseite 
befindet sich das Fotomaterial, anfangs 
eine Zinnplatte, später Fotofilm. Dieses 
Material reagiert sensibel auf Licht und 
verfärbt sich je nach Stärke der Strahlen. 
Lässt man durch die Öffnung Licht ein- 
fallen, trifft es auf das Fotomaterial und 
projiziert darauf ein Abbild der Realität, 
das auf dem Kopf steht. Niepce brauch- 
te im Jahr 1826 für das erste Exemplar 
aus seinem Arbeitsraum acht Stunden 
und eine Distanz von rund einem halben 
Meter zwischen Loch und Platte. 

Die Flatcam ist ein Lochkamera auf 
Mikroebene. Statt nur eines Lochs gibt 
es Hunderttausende, mikroskopisch 
kleine Öffnungen auf der einen Quadrat- 
zentimeter großen Kunststoffmaske. Die 
liegt in weniger als einem Millimeter 
Abstand vor einer Sensorplatine, der di- 
gitalen Version des Fotofilms. So entste- 
hen gleichzeitig Hunderttausende Fotos, 
die jeweils nur einen oder zwei Pixel 
groß sind. Fügt man diese Pixel zusam- 
men, ergibt das zunächst nur ein ver- 
schwommenes Bild. Weil der Abstand 
zwischen Öffnung und Sensor so gering 
ist, werden die Einfallstrahlen hinter der 
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Maske nicht ausreichend gestreut. Die 
projizierten Lichtstrahlen sind zu dicht 
beieinander, um ein realitätsnahes Foto 
zu erzeugen. Die Wissenschaftler nen- 
nen das den Multiplex-Effekt. 

Der Schlüssel zum erkennbaren Foto 
ist ein linearer Algorithmus, so Ashok 
Veeraraghavan, Assistenzprofessor und 
Mitglied des Forschungsteams: „Da wir 
mittlerweile sehr gut verstehen, wie sich 
Lichtstrahlen verhalten, können wir die 
dicht beieinander liegenden Informati- 
onen präzise dekodieren. Das System 
glättet sozusagen die einzelnen Aufnah- 
men und fügt sie zu einem Gesamtbild 
zusammen“. Dadurch entstehen digitale 
Mosaike mit 0,5 Megapixeln. Baraniuk 
erläutert das Prinzip: „Die algorithmi- 
sche Berechnung wird bei uns sehr früh 
in den Prozess eingebunden, und als 
Hauptbestandteil der Sensorik genutzt. 
Dadurch können wir auf physische Sen- 
sorelemente wie das Objetiv verzichten 
und das Gerät verkleinern“. Diese Ver- 
mischung aus Hard- und Software sei 
auch in anderen Technologiebereichen 
zu erwarten. Auf den bisher produzier- 
ten Fotos mit dem Prototypen sind die 
Objekte gut erkennbar, bisher aber auch 
noch nicht mehr. 

Die Einsatzmöglichkeiten sind viel- 
fältig, so Baraniuk: „Die Flatcam soll 
vorerst nicht die Spiegelreflexkamera 
ersetzen. Wir sehen die Anwendung 
aktuell vor allem in der visuellen In- 
teraktion zwischen Geräten.“ Es geht 
also zunächst um das sogenannte In- 
ternet der Dinge, die Vernetzung und 
den Datenaustausch von Geräten und 
Computern untereinander, z. B. in der 
Lagerhaltung: In die Wand eines Wa- 
renregals in einem Schuhladen wird die 
flache Kamera integriert und filmt den 
Lagerbestand eines gewissen Modells. 
Verändert sich der Bestand, leitet sie 
diese Information automatisch an das 
Lagerhaltungssystem weiter. Dies ist 
zwar heute schon mit konventioneller 
Technik möglich, aber zu weitaus hö- 
heren Kosten als es mit den Lensless 
Smart Sensors (LSS). 

Gemäß dem LSS-Chefentwickler bei 
Rambus, Patrick Gill, können mit der 
Technik „jedem digitalen Gerät, unab- 
hängig von seiner Größe, Augen hinzu- 
gefügt werden“. Besonders der Bereich 
Augmented Reality (AR) könne durch 
LSS Fortschritte machen. AR beschreibt 


Technologien, bei denen virtuelle Ele- 
mente in die menschliche Wahrneh- 
mung der Realität einfließen. Die flä- 
chendeckende Anwendung der flachen 
Kameras liegt noch in der Zukunft. Fra- 
gen des Datenschutzes und der Daten- 
sicherheit werden dann relevant. Prak- 
tisch unsichtbare, fast kostenlose Kame- 
ras könnten zur weiteren exponenziellen 
Vermehrung visueller Daten führen. 

Die Forschenden der Rice-Universität 
testen mittlerweile einen zweiten Pro- 
totypen, der Mikroskopbilder liefert, so 
Veeraraghavan: „Das Besondere dabei 
ist die Anwendung an Lebewesen zu 
geringen Kosten“. Mit einem Endoskop 
könne man die Kamera unter die Haut 
oder in den Körper von Menschen und 
Tieren bringen und, wenn nötig, dort 
für den Kontrollzeitraum auch lassen. 
Die sogenannte In-Vivo-Mikroskopie 
sei möglich, da die Flatcam nur wenig 
Licht benötige und bereits ab einem Ob- 
jektabstand von 0,01 Zentimetern Bilder 
liefere. So könnten langfristige Tierun- 
tersuchungen vereinfacht werden. Die 
Forschenden wollen mit der Kamera 
auch menschliche Zellen untersuchen 
und hoffen, zur billigen Krebsvorsorge 
beisteuern zu können. 

Auf Hardware kann bei der Anwen- 
dung nicht verzichtet werden: Damit 
die Flatcam klarere Bilder liefert, muss 
die Sensorplatte feiner werden. In die- 
sem Bereich gab es in den vergangenen 
Jahren keinen großen Fortschritt. Das 
von US-Institutionen geförderte For- 
scherteam um Baraniuk berichtet aber 
von großem Interesse seitens der Unter- 
nehmen. Sein Kollege Veeraraghavan 
ist aber optimistisch: „In den nächsten 
ein bis zwei Jahren wird die Flatcam 
von unterschiedlichen Organisationen 
auf Marktreife getestet“ (Ultraflache 
Kamera soll dem Internet das Sehen 
beibringen, www.golem.de 12.11.2016; 
Gluschak, Die Augen des Internets, SZ 
09.11.2016, 26). 


Studie: Passwörter sind 
leicht erratbar 


Forschende der englischen Lancaster 
University und an chinesischen Hoch- 
schulen in Peking und Fujian kamen 
zu dem Ergebnis, dass Passwörter, die 
Nutzende einheitlich für verschiede- 
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ne Onlinekonten nutzen, durch Erraten 
leicht zu knacken sind, wenn nur wenige 
Informationen über die Betroffenen vor- 
liegen. Sie starteten systematisch Test- 
angriffe, wobei den Hackern mit wissen- 
schaftlichem Interesse unterschiedlich 
viel Wissen über die auszuspähenden 
Nutzenden zur Verfügung stand. Über- 
prüft wurde die Sicherheit von mehre- 
ren Tausend Internetkonten in Großbri- 
tannien und China. Dabei orientierten 
sich die Forschenden an den Vorgaben 
des National Institute of Standards and 
Technology in den USA, wonach es 
binnen 30 Tagen nicht mehr als 100 ge- 
scheiterte Versuche geben darf, sich in 
einen Account einzuloggen, Lagen per- 
sönliche Daten und gar das Passwort 
eines anderen Onlinekontos vor, gelang 
das Knacken mit 73% Wahrscheinlich- 
keit. Bei Nutzenden, die höhere Sicher- 
heitsstandards anlegten, wurden immer 
noch 30% der Accounts gehackt. Ping 
Wang, Professor an der Peking Univer- 
sity und Mitautor der Studie, verweist 
auf Datenlecks wie jüngst bei Yahoo 
oder LinkedIn, durch die Passwörter 
für Kriminelle zugänglich werden. We- 
gen des Sicherheitsrisikos müssten die 
Betroffenen durch unterschiedliche und 
wechselnde komplexe Passwortwahl die 
nötigen Vorkehrungen treffen (Der Spie- 
gel 45/2016). 


Authentifizierung per 
Hirnstromanalyse 


US-Forschende haben ein biomet- 
risches System entwickelt, das Hirn- 
ströme erkennen und künftig mögli- 
cherweise als Passwort zur Authentifi- 
zierung nutzen kann. Das System von 
John Chuang und seinem Team von der 
Universität von Kalifornien in Berke- 
ley nutzt Hirnstromwellen. Arbeitet 
das Gehirn, erzeugt es ein charakte- 
ristisches Muster von Wellen, die mit 
Elektroenzephalographie-Elektroden 
(EEG) gemessen werden. 

Die Idee zu einem Passthought, also 
Passgedanken, ist schon älter. Ein 
Passgedanke dürfte schwieriger zu 
fälschen sein als Finderabdrücke oder 
das Gesicht. Allerdings fehlte bisher 
ein praktikables Lesegerät, wie es z. 
B. ein EEG-Headset wie Mindwave 
von Neurosky ist. Chuang und seine 
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KollegInnen haben Mindwave getestet 
und konnten ProbandInnen mit einer 
Genauigkeit von über 99% identifi- 
zieren. Als nächstes überlegten sie, ob 
sich dies in ein Gerät integrieren lässt, 
das viele ohnehin mit sich herumtra- 
gen. Sie bauten die Elektrode aus dem 
Headset aus und in einen Ohrhörer ein 
und testeten dieses rudimentäre Sys- 
tem mit einer Gruppe aus zwölf Pro- 
bandInnen. Die Forschenden ließen sie 
jeweils zweimal fünf Denkaufgaben 
erledigen. Der EEG-Ohrhörer erkannte 
die Person mit einer Treffergenauig- 
keit zwischen 72 bis 80%. Das Team 
stellte sein System auf der Konferenz 
„Engineering in Medicine and Biology 
Society“ vorgestellt. Um das System 
zu einem serienreifen Produkt weiter- 
zuentwickeln, muss die Genauigkeit 
verbessert werden. 

Probleme bereitet die Methode, wenn 
die NutzerIn nicht entspannt ist. So 
fanden Chuang und sein Sohn heraus, 
dass Sport einen starken Einfluss auf 
die Hirnaktivität hat: Nach einer Sport- 
übung kann es eine Minute dauern, 
bis Hirnstromwellen wieder zu ihrem 
normalen Muster zurückkehren. Auch 
Stress, Alkohol, Koffein oder die Stim- 
mung können die elektrischen Signale, 
die das Gehirn erzeugt, beeinflussen. 
Ein serienreifes System muss damit 
umgehen können. Sollte es robust ge- 
nug sein, könnte schon das Nachden- 
ken über ein vergessenes Passwort das 
Passwort sein (Pluta, Ich denke, also 
erkennt mich mein Computer, www. 
golem.de 01.09.2016). 


Menschlicher Körper als 
Authentisierungs-Leitung 


Forschenden ist es gelungen, Pass- 
wortschlüssel von einem Fingerab- 
druck-Scanner durch Fleisch, Blut und 
Knochen zu einer Empfangsstation, z. 
B. einer Türklinke, zu schicken. Das 
sei, so ihre Darstellung, deutlich lang- 
samer als WiFi oder Bluetooth, aber 
auch deutlich sicherer. 

Der Versuchsaufbau der Elektro- und 
Computeringenieure der University of 
Washington besteht darin, dass ein Pro- 
band ein Smartphone oder Laptop mit 
Fingerabdruck-Scanner in der einen 
Hand hält und mit der anderen nach 


einem Türgriff greift, der mit einem 
modifizierten Smartlock gekoppelt ist. 
Ein Finger wird auf den Sensor gelegt 
und das Schloss öffnet sich. Die Au- 
thentisierung mit der Schlüsselsequenz 
wird nicht vom Telefon oder Laptop 
über Wifi, NFC oder Bluetooth an das 
Smartlock gesendet, sondern fließt ko- 
diert in einer elektromagnetischen Nie- 
derfrequenzwelle vom Scanner durch 
den Körper des Versuchsteilnehmers. 
Diese wird mit der sonst zum Scannen 
des Fingerabdrucks genutzten Technik 
generiert. Shyam Gollakota, Mitent- 
wickler des Konzeptes, erklärt: „Fin- 
gerabdruck-Sensoren wurden bisher als 
Eingabegerät genutzt. Wir haben nun 
gezeigt, dass diese Scanner auch zum 
Senden von Informationen durch den 
Körper genutzt werden können.“ 

Dabei sei der menschliche Körper mit 
seiner Zusammensetzung aus verschie- 
den dichten und damit ungleich „leit- 
fähigen“ Stoffen als Datenleitung alles 
andere als ideal. Mit gerade einmal 
zwischen 25 und 50 Bit pro Sekunde 
werden die Login-Daten derzeit durch 
Fleisch, Blut und Knochen transportiert 
— was aber auch von der Leistungsfä- 
higkeit der jeweils genutzten Sensoren 
abhängt. Körpergröße und -Umfang der 
Testpersonen oder mit welchem Kör- 
perteil sie den Türgriff berührt, all das 
hat hingegen nahezu keinen Einfluss. 
Die Tür ließe sich auch mit dem Fuß, 
Bauch oder Ohr öffnen. 

Den EntwicklerInnen zufolge ist die 
sogenannte On-body-Transmission von 
Schlüsseldaten grundsätzlich deutlich 
sicherer als derzeitige NFC-, WiFi- 
oder Bluetooth-Systeme, so Mehrdad 
Hessar von der University of Washing- 
ton: „Ich kann den Türknauf berühren 
und den Fingerabdruck-Sensor meines 
Telefons. Dabei werden die Daten nur 
durch den Körper geschickt, ohne et- 
was in die Luft abfließen zu lassen.“ 
Das System könne recht schnell ein- 
gesetzt werden, weil es sich mit vie- 
len aktuellen Fingerabdruck-Scannern 
umsetzen ließe. Dabei sei der Einsatz 
nicht auf Smartlocks begrenzt, sondern 
könnte etwa auch zur Übertragung von 
Datenpaketen an medizinische Geräte 
wie Insulinpumpen oder andere Weara- 
bles genutzt werden (Förtsch, Forscher 
senden Login-Daten durch den Körper, 
www.wired.de 06.10.2016). 
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aT-Teisigjelg-ieialäigte 


EuGH 


Anlasslose Vorratsdaten- 
speicherung ist grund- 
rechtswidrig. 


Der Europäische Gerichtshof 
(EuGH) in Luxemburg hat mit Urteil 
vom 21.12.2016 Regelungen zur an- 
lasslosen Vorratsdatenspeicherung in 
Großbritannien für grundrechtswidrig 
erklärt und damit auch Vorlagen schwe- 
discher und britischer Gerichte beant- 
wortet (C-203/15, C-698/15)., Danach 
steht das Unionsrecht grundsätzlich ei- 
ner nationalen Regelung entgegen, „die 
eine allgemeine und unterschiedslose 
Speicherung von Daten vorsieht“. Die 
Entscheidung wird Auswirkungen für 
das laufende Verfahren gegen die Neu- 
regelung der Vorratsdatenspeicherung 
in Deutschland haben. Die Vorratsda- 
tenspeicherung verlangt die Speiche- 
rung der Verbindungsdaten aller User, 
die bei der Telekommunikation, bei der 
Internet-Nutzung und im Mobilfunk 
anfallen, ohne konkreten Verdacht auf 
strafbare Handlungen, um auf Anforde- 
rung Strafverfolgern bei Ermittlungen 
zur Verfügung zu stehen. 

Das EuGH-Urteil geht auf Klagen 
von Brexit-Minister David Davis u. a. 
gegen die britische Snooper’s Charter 
und des Anbieters Tele Sverige beim 
Oberverwaltungsgericht Stockholm, 
das dessen Aussetzung der Daten- 
speicherung absegnen lassen wollte, 
zurück. Im Urteil zu den zusammen- 
gezogenen Verfahren aus England 
und Schweden wird klargestellt, dass 
die Gesamtheit von anlasslos gespei- 
cherten Daten „sehr genaue Schlüsse 
auf das Privatleben der Personen zu, 
deren Daten auf Vorrat gespeichert 
werden“, zulässt. Dies ermögliche die 
Erstellung eines Profils, „das im Hin- 
blick auf das Recht auf Privatsphäre 
eine genauso sensible Information 
darstellt wie der Inhalt der Kommuni- 
kation selbst“. Daher handele es auch 
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um einen schwerwiegenden Grund- 
rechtseingriff, wenn ohne Anlass Ver- 
kehrs- und Standortdaten gespeichert 
würden. Es fehle ein Zusammenhang 
zwischen den anlasslos gespeicherten 
Daten und einer Bedrohung der öffent- 
lichen Sicherheit. Er beschränke sich 
„nicht auf die Daten eines Zeitraums 
und/oder eines geografischen Gebiets 
und/oder eines Personenkreises, der 
in irgendeiner Weise in eine schwe- 
re Straftat verwickelt sein könnte“. 
Eine Vorratsdatenspeicherung können 
ausnahmsweise zulässig sein; sie dür- 
fe aber nicht — wie in Schweden und 
Großbritannien — zur Regel werden. 
Gemäß den Regelungen in Schweden 
und in Großbritannien waren die Ver- 
kehrs- und Standortdaten sechs bzw. 
zwölf Monate zu speichern. Eine sol- 
che Regelung überschreite die „Gren- 
zen des absolut Notwendigen“. Der 
EuGH wies darauf hin, was aus seiner 
Sicht noch möglich ist: eine geziel- 
te, aus gegebenem Anlass erfolgende 
Speicherung. Dafür müssen die Ge- 
setzgeber allerdings eine Reihe von 
Maßgaben erfüllen. Der Zugang muss 
in der Regel — außer im Notfall — von 
einem Richter abgesegnet werden und 
die Daten sind in Europa zu speichern. 
Das Urteil wirft auch ein Licht auf 
neue Verfahren beim Bundesverfas- 
sungsgericht (BVerfG). Erst vergan- 
gene Woche hatte DigitalCourage ein 
neues Massenverfahren mit 33.000 
Mitunterzeichnenden angestrengt. 
Sollte das BVerfG in seiner Entschei- 
dung hinter der Rechtsprechung des 
EuGH zurückbleiben, könnten sich die 
Kläger aufgefordert fühlen, selbst den 
Weg nach Luxemburg zu beschreiten. 
Rechtsanwalt Meinhard Starostik, 
der für die Organisation DigitalCoura- 
ge eine große Gruppe von Verbänden 
und 33.000 Einzelbeschwerdeführerin- 
nen vor dem BVerfG vertritt, meinte, 
das EuGH-Urteil setze „klare Grenzen, 
die das deutsche Gesetz bereits bei der 
Erhebung der Daten überschreitet“. 
Beispielsweise müsse eine gezielte, 


und daher noch zulässige, Speicherung 
auf die „Bekämpfung schwerer Straf- 
taten“ begrenzt werden und grundsätz- 
lich die Speicherung von Daten auf das 
„absolut Notwendige hinsichtlich der 
Kategorien der zu speichernden Daten, 
der erfassten Kommunikationsmittel, 
der betroffenen Personen und der vor- 
gesehenen Dauer“ beschränkt werden. 
Außerdem dürften von vornherein nur 
Personen ins Visier genommen werden, 
„deren Daten einen unmittelbaren oder 
zumindest mittelbaren Zusammenhang 
mit schweren Straftaten haben“. Bezie- 
hungsweise es gelte, einen bestimmten 
geographischen Umkreis für eine Spei- 
chermaßnahme zu ziehen. Starostik 
hofft, „dass das Bundesverfassungsge- 
richt im Lichte seiner eigenen Recht- 
sprechung und dieses klaren Urteils des 
EuGH nunmehr kurzfristig das deut- 
sche Gesetz für verfassungswidrig er- 
klärt, damit die Speicherung am 1. Juli 
2017 erst gar nicht beginnt“. 

Volker Tripp, politischer Geschäfts- 
führer des Vereins Digitale Gesell- 
schaft, erklärte mit Blick auf die Um- 
setzung der Vorratsdatenspeicherung in 
Deutschland: „Mit seinem heutigen Ur- 
teil zur Vorratsdatenspeicherung macht 
der Europäische Gerichtshof allen 
Sicherheitsesoterikern und Überwa- 
chungsfanatikern einen dicken Strich 
durch die Rechnung. [...] Nun muss 
auch Deutschland reagieren und die 
erst im vergangenen Jahr verabschiede- 
te Neuauflage der Vorratsdatenspeiche- 
rung ein für alle Mal auf den Müllhau- 
fen der Geschichte verbannen.“ 

Oliver Süme, Vorstand Politik & 
Recht des eco-Verbands der Internet- 
wirtschaft begrüßte ebenso die Ent- 
scheidung: „Die Richter haben ihre 
Chance einer weiteren Grundsatzent- 
scheidung genutzt: Die Mitgliedstaaten 
dürfen keine anlasslose und allgemei- 
ne Vorratsdatenspeicherung festlegen. 
Damit sehen wir unsere wiederholt 
geäußerten Bedenken bestätigt.“ Es sei 
äußerst zweifelhaft, ob das deutsche 
Gesetz zur anlasslosen Vorratsdaten- 
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speicherung in seiner konkreten Ausge- 
staltung den strengen materiellen und 
prozeduralen Anforderungen des Ge- 
richtshofs genügt. „Wir brauchen jetzt 
dringend ein Moratorium, um die Um- 
setzung der Vorratsdatenspeicherung 
in Deutschland zu stoppen; andernfalls 
laufen die Unternehmen Gefahr ein eu- 
ropa- und verfassungsrechtswidriges 
Gesetz umsetzen zu müssen und damit 
Gelder in Millionenhöhe in den Sand 
zu setzen.“ 

Schon mit einem Urteil vom 
08.04.2014 hatte der EuGH enge Gren- 
zen gezogen und klar gemacht, dass 
eine völlig anlasslose Speicherung 
von Verkehrsdaten als grundsätzlich 
grundrechtswidrig zu betrachten ist (C- 
293/12 u. C-594/12). Von Seiten der 
Opposition in Deutschland, von den 
Grünen, ebenso wie auch von den Pi- 
raten und aus dem liberalen Lager ka- 
men bereits mehrere Forderungen, der 
deutsche Gesetzgeber möge sich bitte 
endgültig von einer anlasslosen Gene- 
ralspeicherung verabschieden. 

Das Urteil erging zu einem heiklen 
Zeitpunkt: zwei Tage nach dem terroris- 
tischen Anschlag in Berlin, der Sicher- 
heitsbehördenvertreter und Politiker 
erneut dazu brachte, eine Ausweitung 
der vor dem BVerfG angefochtenen 
Vorratsdatenspeicherung zu fordern. 
Das Urteil lässt den Mitgliedstaaten 
einen Spielraum und macht Ermittler 
nicht blind. Es räumt aber auf mit dem 
Mythos der Unverzichtbarkeit der TK- 
Vorratsdatenspeicherung. Die Hälfte 
der europäischen Regierungen war in 
dem Verfahren vertreten, doch konnten 
sie das Gericht nicht von der Effizienz 
der Speicherei überzeugen. Valide, 
übergreifende Studien sucht man wei- 
terhin vergebens. Eine weitere Dimen- 
sion des Urteils liegt darin, dass sich in 
einigen Staaten Osteuropas derzeit eine 
radipe Erosion des Rechtsstaats voll- 
zieht. In den Händen von Autokraten 
kann ein riesiger Datenpool, der nur 
zur Bekämpfung schwerer Kriminalität 
genutzt werden dürfte, zur Infrastruktur 
einer Massenüberwachung werden (Er- 
mert, Europäischer Gerichtshof bekräf- 
tigt: Anlasslose Vorratsdatenspeiche- 
rung ist illegal Update, www.heise.de 
21.12.2016; Janisch, Das Privatleben 
muss geschützt bleiben, Urteil gegen 
Autokraten, SZ 22.12.2016, 1, 4). 
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BVerfG 


Vertraulichkeitszusage 
gegenüber USA geht vor 
parlamentarisches Unter- 
suchungsrecht 


Mit Beschluss vom 13.10.2016 hat der 
Zweite Senat des Bundesverfassungsge- 
richts (BVerfG) entschieden, dass die 
Bundesregierung (BReg) die NSA-Se- 
lektorenlisten, mit der der Bundesnach- 
richtendienst (BND) für die Vereinigten 
Staaten von Amerika (USA) Telekom- 
munikationsüberwachung durchführt, 
nicht an den NSA-Untersuchungsaus- 
schuss des Deutschen Bundestags he- 
rausgeben muss (2 BvE 2/15). Zwar 
umfasst das Beweiserhebungsrecht des 
Untersuchungsausschusses dem Grun- 
de nach auch die NSA-Selektorenlisten, 
doch berührten diese zugleich Geheim- 
haltungsinteressen der USA und un- 
terlägen deshalb nicht der ausschließ- 
lichen Verfügungsbefugnis der BReg. 
Eine Herausgabe unter Missachtung 
einer zugesagten Vertraulichkeit und 
ohne Einverständnis der USA würde die 
Funktions- und Kooperationsfähigkeit 
der deutschen Nachrichtendienste und 
damit auch die außen- und sicherheits- 
politische Handlungsfähigkeit der BReg 
nach verfassungsrechtlich nicht zu bean- 
standender Einschätzung der Regierung 
erheblich beeinträchtigen. Das Geheim- 
haltungsinteresse der Regierung über- 
wiege insoweit das parlamentarische 
Informationsinteresse, zumal die BReg 
dem Vorlageersuchen in Abstimmung 
mit dem NSA-Untersuchungsausschuss 
so präzise, wie es ohne eine Offenle- 
gung von Geheimnissen möglich war, 
Rechnung getragen habe. Sie hat insbe- 
sondere Auskünfte zu den Schwerpunk- 
ten der Zusammenarbeit von BND und 
National Security Agency (NSA), zum 
Inhalt und zur Zusammenstellung der 
Selektoren, zur Filterung der Selektoren 
durch den BND sowie zur Anzahl der 
abgelehnten Selektoren erteilt. Insofern 
bestehe nicht die Gefahr des Entstehens 
eines kontrollfreien Raumes und damit 
eines weitgehenden Ausschlusses des 
Parlaments von relevanter Information. 

Faktischer Hintergrund des Beschlus- 
ses ist die Kooperation bei der Fern- 
meldeaufklärung zwischen BND und 


der US-amerikanischen NSA eine Ko- 
operation, wobei der BND die aus ei- 
nem Internetknotenpunkt ausgeleiteten 
Daten nach von der NSA definierten 
Merkmalen, den sogenannte Selektoren, 
auswertet. Nachdem im Sommer 2013 
in der Folge der Snowden-Enthüllungen 
bekannt geworden war, dass auch EU- 
Vertretungen und deutsche Grundrechts- 
träger von der Überwachung durch 
BND und NSA betroffen seien, setzte 
der Deutsche Bundestag im März 2014 
den sogenannten NSA-Untersuchungs- 
ausschuss ein. Dieser verlangte von der 
BReg die Herausgabe sämtlicher Be- 
weismittel, die Auskunft darüber geben, 
welche Erkenntnisse beim BND darüber 
vorliegen, inwiefern die NSA im Rah- 
men der Kooperation Aufklärung gegen 
deutsche Ziele oder deutsche Interessen 
betrieben hat. Die BReg legte daraufhin 
Beweismaterial vor. Die NSA-Selekto- 
renlisten verweigerte sie aber mit der Er- 
klärung, eine Herausgabe an den Unter- 
suchungsausschuss ohne Einverständnis 
der USA verstoße gegen die gegenseitig 
zugesagte Vertraulichkeit und würde die 
internationale Kooperationsfähigkeit 
Deutschlands beeinträchtigen. Stattdes- 
sen wurde eine „Vertrauensperson“ be- 
stellt: Der Ex-Bundesverwaltungsrichter 
Kurt Graulich wertete die Liste aus. In 
seinem Bericht warf er den USA Ende 
Oktober 2015 gravierende Verstöße ge- 
gen vertragliche Vereinbarungen vor. 

Im Organstreitverfahren begehrten 
daraufhin die Fraktionen im Bundes- 
tag „Die Linke“ und „Bündnis 90/Die 
Grünen“ sowie deren Mitglieder im 
NSA-Untersuchungsausschusses Mar- 
tina Renner und Konstantin von Notz 
die Feststellung, dass die BReg und der 
Chef des Bundeskanzleramtes durch die 
Ablehnung der Herausgabe das Beweis- 
erhebungsrecht des Bundestages aus 
Art. 44 GG verletzt haben. 

Das BVerfG befand, dass sei der Un- 
tersuchungsausschuss als Hilfsorgan des 
Deutschen Bundestages gem. Art. 44 
Abs. I Satz 1 GG zwar befugt sei, im 
Rahmen seines Untersuchungsauftrages 
diejenigen Beweise zu erheben, die er für 
erforderlich hält. Doch unterläge dieses 
Beweiserhebungsrecht auch Grenzen, 
die ihren Grund aber im Verfassungs- 
recht haben müssen. Dies könnten nicht 
völkerrechtliche Verpflichtungen sein, 
da diese keinen Verfassungsrang besit- 
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zen. Etwas anderes gelte für den Ge- 
waltenteilungsgrundsatz. Als Gebot der 
Unterscheidung zwischen gesetzgeben- 
der, vollziehender und rechtsprechender 
Gewalt diene er einer funktionsgerech- 
ten und aufgabenadäquaten Zuordnung 
hoheitlicher Befugnisse zu unterschied- 
lichen Trägern öffentlicher Gewalt. 

Der Staat sei von Verfassungs wegen 
verpflichtet, das Leben, die körperli- 
che Unversehrtheit und die Freiheit 
des Einzelnen zu schützen, etwa indem 
er terroristischen Bestrebungen entge- 
gen tritt. Die Bereitstellung wirksamer 
Aufklärungsmitteln zu ihrer Abwehr 
sei ein legitimes Ziel und für die demo- 
kratische und freiheitliche Ordnung von 
großem Gewicht. Zur Effektivierung 
der Beschaffung und Auswertung von 
Informationen von außen- und sicher- 
heitspolitischer Bedeutung arbeiten die 
deutschen Nachrichtendienste mit aus- 
ländischen Nachrichtendiensten zusam- 
men. Grundlage dieser Zusammenarbeit 
sei die Einhaltung von Vertraulichkeit. 
Es obliege der BReg, hierfür völker- 
rechtliche Verpflichtungen als Teil der 
Außen- und Sicherheitspolitik der Initi- 
ativ- und Gestaltungsbefugnis der BReg 
einzugehen. 

Die Verweigerung der Vorlage der 
NSA-Selektorenlisten verletze nicht das 
Beweiserhebungsrecht des Deutschen 
Bundestages aus Art. 44 GG. Durch 
die Einsetzung einer sachverständigen 
Vertrauensperson und deren gutachter- 
liche Stellungnahme sei der Informa- 
tionsrecht des Bundestags nicht erfüllt 
worden. Doch stehe einer weitergehen- 
den Beweiserhebung das Interesse der 
Regierung an funktionsgerechter und 
organadäquater Aufgabenwahrnehmung 
entgegen. Die USA hätten deutlich ge- 
macht, dass der Untersuchungsaus- 
schuss als Außenstehender anzusehen 
und die Herausgabe der NSA-Selek- 
torenlisten an ihn nicht vom Übermitt- 
lungszweck umfasst sei. Sie habe der 
BReg vermittelt, dass die Herausgabe 
der NSA-Selektorenlisten die Funk- 
tions- und Kooperationsfähigkeit der 
Nachrichtendienste und damit auch die 
außen- und sicherheitspolitische Hand- 
lungsfähigkeit der Bundesregierung 
erheblich beeinträchtigen würde. Ange- 
sichts einer solchermaßen konkretisier- 
ten Gefährdungslage für die äußere und 
innere Sicherheit der Bundesrepublik 
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Deutschland seien zugleich im Staats- 
wohl gründende Geheimhaltungsinte- 
ressen berührt. Diese tatsächliche und 
rechtliche Wertung des Verhältnisses 
zu ausländischen Nachrichtendiensten 
und Partnerstaaten unterliege angesichts 
des Einschätzungs- und Prognosespiel- 
raums der BReg nur einer eingeschränk- 
ten verfassungsgerichtlichen Kontrolle. 
Selbst wenn man im Hinblick auf die 
Folgenschwere eines Vertrauensbruches 
relativierend davon ausginge, dass sich 
die Herausgabe der Selektorenlisten an 
den Untersuchungsausschuss nur vor- 
übergehend auf den Umfang des inter- 
nationalen Informationsaustauschs aus- 
wirkte, wären hiermit eine nicht hinzu- 
nehmende temporäre Beeinträchtigung 
der Funktionsfähigkeit der Nachrichten- 
dienste und damit eine Sicherheitslücke 
naheliegend. 

Das Interesse an der Erhaltung der 
außen- und _ sicherheitspolitischen 
Handlungsfähigkeit der Bundesregie- 
rung überwiegt das Recht des Untersu- 
chungsausschusses auf Herausgabe der 
NSA-Selektorenlisten. Soweit es um 
die Herausgabe der Selektorenlisten 
und damit um die konkrete Benennung, 
also die namentliche Erwähnung der als 
Erfassungsziele betroffenen natürlichen 
oder juristischen Personen sowie Insti- 
tutionen und staatlichen Einrichtungen 
geht, sei deren Kenntnis eher von allge- 
meinem politischem Interesse und für 
die Erfüllung des Untersuchungsauftra- 
ges und damit für die parlamentarische 
Kontrolle des Regierungshandelns nicht 
in einem Maße zentral, um gegenüber 
den Belangen des Staatswohls und der 
Funktionsfähigkeit der Regierung Vor- 
rang zu beanspruchen 

Grünen-Obmann Konstantin von Notz 
kritisierte: „Weite Teile der jahrelangen, 
rechtswidrigen BND-Praxis werden 
jetzt im Dunkeln bleiben.“ Die Obfrau 
der Linken, Martina Renner, ergänzte, 
die Entscheidung signalisiere, „dass die 
Geheimdienste weiter machen können, 
was sie wollen, ungestört von parla- 
mentarischer Kontrolle. Wieder einmal 
müssen die Rechte des Parlaments ge- 
genüber den Geheimdienstinteressen 
zurücktreten.“ — Regierungskoalitionä- 
re äußerten sich dagegen zufrieden, 
etwa der Ausschussvorsitzende Patrick 
Sensburg (CDU): „Es gibt Dinge, die 
geheim bleiben müssen. Sonst können 


die Geheimdienste nicht arbeiten“. Voll 
bestätigt fühlte sich auch Nina War- 
ken, die Obfrau der Unionsfraktion im 
Untersuchungsausschuss: „Nun haben 
wir es schwarz auf weiß, dass wir mit 
dem eingeschlagenen Weg das Auf- 
sichtsrecht des Parlaments und das Si- 
cherheitsinteresse des Staates in einen 
klugen Ausgleich gebracht haben“ (PM 
BVerfG ‚Nr. 84/2016 v. 15.11.016, Im 
besonderen Fall der NSA-Selektoren- 
listen hat das Vorlageinteresse des Un- 
tersuchungsausschusses zurückzutreten; 
NSA-Selektorenliste bleibt geheim: Op- 
position enttäuscht über Karlsruher Ur- 
teil, www.heise.de 15.11.2016). 


BGH 


Antrag auf Anhörung von 
Snowden muss - erst spä- 
ter — behandelt werden 


Mit Beschluss vom 11.11.2016 ent- 
schied eine Ermittlungsrichterin des 
Bundesgerichtshofs (BGH), dass der 
NSA-Untersuchungsausschuss des 
deutschen Bundestags noch einmal über 
Teile eines Antrags abstimmen muss, 
mit dem die Bundesregierung aufge- 
fordert werden soll, die Voraussetzun- 
gen für eine Vernehmung des Zeugen 
Snowden in Deutschland zu schaffen 
(1 BGs 125/16). Damit sind die Chan- 
cen, Whistleblower Edward Snowden 
als Zeuge vor den Untersuchungsaus- 
schuss nach Berlin zu holen, für die 
Oppositionsfraktionen der Grünen und 
Linken gestiegen, die die „pass- und 
ausländerrechtliche Ermöglichung von 
Einreise und Aufenthalt sowie Zusage 
eines wirksamen Auslieferungsschut- 
zes“ gefordert hatten. Eine Aussage da- 
hingehend, dass die Bundesregierung 
verpflichtet ist, dem durch den Unter- 
suchungsausschuss zu beschließenden 
Ersuchen nachzukommen, ist mit die- 
sem Beschluss nicht verbunden. Bisher 
hatte die Ausschussmehrheit sich daran 
gehindert gesehen, die Regierung über- 
haupt nur um Amtshilfe zu bitten. Sollte 
der Antrag weiterhin von einem Vier- 
tel der Ausschussmitglieder unterstützt 
werden, müsse der Ausschuss zumin- 
dest mehrheitlich zustimmen, entschied 
die Ermittlungsrichterin. Die Große 
Koalition kann das durch ihre Mehrheit 
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in dem Untersuchungsausschuss auch 
nicht verhindern. Die Bundesregierung 
hatte mehrfach angedeutet, möglicher- 
weise müsse Snowden an die USA aus- 
geliefert werden, sobald er deutschen 
Boden betrete. Snowdens Anwalt Wolf- 
gang Kaleck hält seine Auslieferung für 
juristisch nicht zulässig. Was Snowden 
vorgeworfen wird, sei eindeutig eine 
Straftat mit politischem Charakter; nach 
dem Rechtshilfeabkommen mit den 
USA wird in diesen Fällen nicht ausge- 
liefert. Die BGH-Ermittlungsrichterin 
stellte aber klar: „Die Entscheidung, ob 
von einer Auslieferung abgesehen wer- 
den kann oder diese rechtlich geboten 
ist, obliegt der Bundesregierung, nicht 
dem Ausschuss“. 

Mit Beschluss vom 21.12.2016 ent- 
schied dann der BGH auf die Beschwer- 
de der Regierungsfraktionen gegen den 
o. g. Beschluss hin, dass der NSA-Aus- 
schuss vorerst nicht erneut über die Be- 
fragung von Edward Snowden abstim- 
men darf (3 ARs 20/16). Eine Entschei- 
dung im Hauptsacheverfahren müsse 
zunächst abgewartet werden. 

Eine mögliche Befragung des inzwi- 
schen 33-jährigen Whistleblowers in 
Berlin sorgt schon lange für Zündstoff. 
Der ehemalige NSA-Mitarbeiter Snow- 
den hatte im Juni 2013 die massenhafte 
Internet-Überwachung durch die NSA, 
deren britischen Partner GCHQ und 
andere Geheimdienste enthüllt. Auch 
Deutschland ist davon betroffen, was 
der Auslöser für die Einrichtung des 
parlamentarischen Untersuchungsaus- 
schusses war. Der NSA-Untersuchungs- 
ausschuss entschied bereits 2014, Snow- 
den, der auf seiner Flucht Asyl in Russ- 
land bekam, als Zeugen zu hören. Das 
wurde bisher nicht umgesetzt. Grüne 
und Linke halten der Bundesregierung 
vor, eine Entscheidung dazu in die Län- 
ge zu ziehen. 

Im Dezember 2014 waren Grüne und 
die Linke mit einem juristischen Vor- 
stoß beim Bundesverfassungsgericht 
(BVerfG) gescheitert, um die Befra- 
gung Snowdens durchzusetzen (DANA 
1/2015, 48 f.). Das BVerfG in Karlsru- 
he hatte die Klage abgelehnt und auf 
die Zuständigkeit des BGH verwiesen. 
Die Koalitionspartner Union und SPD 
hatten sich gegen eine Vernehmung auf 
deutschem Boden gestellt und waren da- 
mit den außenpolitischen Bedenken der 
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Bundesregierung gefolgt. Diese fürchtet 
eine schwere Belastung der Beziehun- 
gen zu den USA, falls der frühere Ge- 
heimdienstmitarbeiter nach Deutschland 
kommen würde. Für Grüne und Linke 
ist eine Vernehmung per Video oder in 
Moskau dagegen nicht gleichwertig zu 
einer persönlichen Befragung in Berlin. 

Martina Renner, Linken-Obfrau im 
Untersuchungsausschuss, sieht „eine 
große Chance für den Bundestag, mit 
dem Zeugen Edward Snowden wesent- 
liche Fragen der Überwachungspra- 
xis der USA zu klären“. Das sei lange 
überfällig. „Die Bundesregierung steht 
jetzt vor der Bewährungsprobe. Sie darf 
sich den Interessen der Geheimdienste 
nicht unterwerfen“ (PE BGH 209/2016 
v. 21.11.2016, Bundesgerichtshof ver- 
pflichtet „NSA-Untersuchungsaus- 
schuss“ zum Amtshilfeersuchen an die 
Bundesregierung; BGH-Entscheidung: 
NSA-Ausschuss darf Edward Snowden 
vorladen, www.heise.de 21.11.2016; 
Janisch, Ein Zeuge namens Snowden, 
SZ 22.11.2016, 1, 5; BGH-Beschluss zu 
Snowden, SZ 22.12.2016, 5). 


BGH 


AGB können zur Untersu- 
chung bei Versicherungs- 
vertragsärzten verpflichten 


Mit Urteil vom 13.07.2016 gab der 
Bundesgerichtshof (BGH) eine Antwort 
darauf, ob Versicherungsnehmer einer 
Versicherung es erdulden müssen, von 
einem von der Versicherung bestimm- 
ten Arzt untersucht zu werden, wenn die 
Untersuchung klären soll, ob die Versi- 
cherung leisten muss oder nicht (IV ZR 
292/14). Das Urteil lässt bei entspre- 
chender Vertragsgestaltung regelmäßig 
die Persönlichkeitsrechte zurücktreten, 
insbesondere beim Outsourcing der Ver- 
arbeitung von Gesundheitsdaten. 

Eine Versicherte behauptete unter 
Rückenschmerzen zu leiden und suchte 
verschiedene Ärzte auf, die ihr Therapi- 
en wie Massage oder Krankengymnas- 
tik verschrieben. Nach ihrer Auffassung 
führten diese aber zu keinem dauerhaf- 
ten Erfolg. Sie kam nun auf die Idee, 
als Tochter einer Physiotherapeutin und 
privat Krankenversicherte, sich von ih- 
rer Mutter behandeln zu lassen und bei 


der Versicherung neben den Untersu- 
chungskosten anderer Ärzte auch Mut- 
ters Behandlungskosten in Rechnung zu 
stellen. Die Zahlung wurde durch die 
Versicherung verweigert. In den AGB 
hieß es explizit, dass „keine Leistungs- 
pflicht besteht für Behandlungen durch 
(...) Eltern“. 

Die Vorinstanzen zum BGH gaben der 
Versicherung insoweit Recht, dass sie 
die Rechnungen der Mutter aufgrund der 
eindeutigen Klausel und nachvollzieh- 
baren Möglichkeit des Versicherungs- 
betrugs nicht begleichen musste. Der 
BGH setzte sich damit nicht mehr ver- 
tieft auseinander. Bezüglich der anderen 
Rechnungen forderte die Versicherung 
die Tochter auf, sich von einem von der 
Versicherung ausgewählten Arzt bzgl. 
der Rückenbeschwerden untersuchen zu 
lassen, um die Leistungspflicht der Ver- 
sicherung zu prüfen. Hierzu hieß es in 
den AGBs, dass „der Versicherungsneh- 
mer (...) auf Verlangen des Versicherers 
jede Auskunft zu erteilen [hat], die zur 
Feststellung des Versicherungsfalles 
oder der Leistungspflicht des Versiche- 
rers und ihres Umfanges erforderlich ist. 
(...) Auf Verlangen des Versicherers ist 
die versicherte Person verpflichtet, sich 
durch einen vom Versicherer beauftrag- 
ten Arzt untersuchen zu lassen“. 

Dieser Aufforderung kam die Tochter 
nicht nach, woraufhin die Versicherung 
die Rechnungen im Rahmen der Rü- 
ckenbeschwerden auch nicht beglich. 
Die Versicherte monierte, dass die in 
den AGB niedergelegte Verpflichtung 
zu einer Untersuchung durch einen von 
der Versicherung ausgewählten Arzt un- 
zulässig sei. Sie wies auf $ 213 Versi- 
cherungsvertragsgesetz (VVG) hin, der 
die Erhebung von Gesundheitsdaten nur 
u. a. von Ärzten und nur nach Einwil- 
ligung der betroffenen Person zulässt. 
Gemäß ihrem Recht auf informationelle 
Selbstbestimmung habe sie grundsätz- 
lich das Recht, über die Preisgabe und 
Verwendung von Daten selbst zu be- 
stimmen. 

Der BGH wies die Bedenken der 
Versicherten zurück und erklärte $ 213 
VVG für nicht für anwendbar. Zudem 
werde das Recht auf informationelle 
Selbstbestimmung nicht verletzt. $ 213 
VVG sei nicht einschlägig an, da die Re- 
gelung davon ausgehe, dass ein Dritter 
die Gesundheitsdaten erhebe und da- 
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mit eine eigenständige verantwortliche 
Stelle. Im vorliegenden Fall sei der Arzt 
aber gar keine verantwortliche Stelle, 
sondern ein Auftragnehmer der Versi- 
cherung, da er den Weisungen der Ver- 
sicherung unterworfen sei und eine „rei- 
ne Hilfsfunktion“ habe. Daher sei „der 
Arzt (...) mithin nicht als „Herr der Da- 
ten“, sondern lediglich als „verlängerter 
Arm“ des Versicherers anzusehen...“. 
Die von dem BGH herangezogene Lite- 
ratur stellt hier auch darauf ab, dass der 
beauftragte Arzt keinen eigenen Zweck 
mit der Untersuchung der Versicherten 
verfolge, was ebenfalls für eine Auf- 
tragsdatenverarbeitung spräche. 

Auch sei eine Verletzung des informa- 
tionellen Selbstbestimmungsrechts der 
Versicherten nicht gegeben. Man müsse 
dieses Recht der Versicherten mit dem 
Grundrecht der Berufsfreiheit der Versi- 
cherung abwägen. Das Recht auf Berufs- 
freiheit sei höher zu gewichten, da die Ver- 
sicherung im Interesse der Versicherungs- 
gemeinschaft ungerechtfertigte Versiche- 
rungsleistungen vermeiden und daher die 
Möglichkeit haben müsse, den Eintritt des 
Versicherungsfalls zu überprüfen. 

Gemäß diesem Urteil kann eine Ver- 
sicherung mit einem Berufsgeheimnis- 
träger einen Vertrag zur Auftragsdaten- 
verarbeitung nach $ 11 BDSG schließen 
und dann die von diesem erhobenen 
Daten nutzen. $ 203 StGB regelt dage- 
gen, dass ein „unbefugtes Offenbaren“ 
von Geheimnissen, die einem Berufsge- 
heimnisträger wie einem Arzt anvertraut 
worden sind, bestraft wird. Unbefugt ist 
die Offenbarung nur dann nicht, wenn 
der Arzt die Einwilligung des Betroffe- 
nen einholt. Von einer freiwillig erklär- 
ten Einwilligung konnte im konkreten 
Fall keine Rede sein. Der BGH befasste 
sich Urteil überhaupt nicht mit dieser 
Frage der Freiwilligkeit. 

Die Versicherung gibt den Versicher- 
ten in ihren AGB die Obliegenheit auf, 
sich ggf. von einem Arzt untersuchen zu 
lassen. Zwar werden aus strafrechtlicher 
Sicht keine hohen Anforderungen an die 
Form der Einwilligung gestellt. Hier 
reicht eine konkludente Einwilligung. 
So gesehen kann auch eine Vereinba- 
rung in den AGB, die den Versicherten 
zu einer Untersuchung bei einem Arzt 
verpflichtet, damit die Versicherung 
den Leistungsumfang abschätzen kann, 
eine Einwilligung darstellen. Allerdings 
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wird diese Erklärung nicht gegenüber 
dem Arzt abgegeben. Der BGH scheint 
davon auszugehen, dass die Erklärung 
über den Umweg über die Versicherung 
auch für den Arzt Gültigkeit hat und so 
die Schweigepflicht des Arztes gegen- 
über der Versicherung aufhebt. Auch 
auf die Notwendigkeit einer besonderen 
Hervorhebung solch einer Einwilligung, 
wie das BDSG sie vorsieht, geht der 
BGH nicht ein. 

Demgegenüber verlangen Aufsichts- 
behörden für den Fall einer Auftragsda- 
tenverarbeitung eine ausdrückliche Ein- 
willigung von Patienten gegenüber dem 
Berufsgeheimnisträger, wenn eine Auf- 
tragsdatenvereinbarung vorliegt. Auch 
damit setzt sich der BGH in dem Urteil 
nicht auseinander. Nach dem Urteil wür- 
de also eine Vereinbarung in den AGB 
genügen, um eine wirksame und gemäß 
$ 203 StGB konforme Auftragsdaten- 
verarbeitung zu begründen. Auch wäre 
die Belehrung über ein Widerrufsrecht 
einer Einwilligung, wie sie das BDSG 
fordert, nicht erforderlich. Dass hier 
eine eigenständige Aufgabenwahrneh- 
mung durch den Arzt erfolgt, die schon 
definitionsgemäß keine Auftragsdaten- 
verarbeitung sein kann, wird vom BGH 
auch nicht erörtert. 

Der meint vielmehr schlicht, dass In- 
teressen eines Versicherungsnehmers 
regelmäßig zurücktreten müssten, wenn 
eine Versicherung prüfen möchte, ob 
Leistungen gerechtfertigt sind. Das Ar- 
gument, dass die Versicherungsgemein- 
schaft geschützt werden müsse, lässt 
sich auf jegliche Art von Versicherung 
anwenden. Da hier besonders sensib- 
le Gesundheitsdaten erhoben und dann 
abgefragt werden können, könnten erst 
recht andere Daten durch einen beauf- 
tragten Externen im Auftrag der Versi- 
cherung erhoben und verarbeitet werden 
(z. B. Gutachter), ohne dass es einer 
ausdrücklichen Einwilligung bedarf. 
Dies würde z. B. auch legitimieren, im 
Rahmen eines Prämienprogramms einer 
Krankenversicherung Daten von Weara- 
bles auf der Basis von AGB und ohne 
ausdrückliche Einwilligung der Versi- 
cherten zu erheben. Auch würde genü- 
gen, dass Berufsgeheimnisträger (neben 
Ärzten sind dies bspw. auch Anwälte, 
Apotheker oder Steuerberater) in ihren 
AGB eine Vereinbarung aufnehmen, die 
sie dazu berechtigt, externe Dienstleis- 


ter und Cloudservices im Rahmen einer 
Auftragsdatenvereinbarung zu beschäf- 
tigen. Eine Belehrung über ein Wider- 
rufsrecht oder dass diese Einwilligung 
besonders hervorgehoben sein muss, 
wäre nach dem Urteil des BGH nicht 
notwendig. Dies steht im Widerspruch 
zur bisherigen Rechtsprechung des Bun- 
desverfassungsgerichts, die verbietet, 
dass ein faktisch überlegener Vertrags- 
partner einen Vertragsinhalt zu existen- 
ziellen Fragen des persönlichen Lebens 
— wozu derartige Versicherungen gehö- 
ren — einseitig bestimmt (BVerfG U. v. 
23.10.2016, 1 BvR 2027/02). Der BGH 
geht zwar auf diese Rechtsprechung ein, 
erklärt aber das Selbstbestimmungsrecht 
der Versicherten für weniger gewich- 
tig als die Interessen der Versicherung 
(Rossow, www.datenschutz-notizen.de; 
Juris.bundesgerichtshof.de). 


BVerwG 


Journalisten- und An- 
waltsklage gegen BND 
teilweise abgewiesen 


Das Bundesverwaltungsgericht (BVer- 
wG) in Leipzig hat mit Urteilen vom 
14.12.2016 die Zulässigkeit von Klagen 
verneint, mit denen sich ein Rechtsanwalt 
und der Verein „Reporter ohne Grenzen“ 
gegen die strategische Überwachung von 
E-Mail-Verkehr durch den Bundesnach- 
richtendienst (BND) wehrte. Die Klagen 
gegen die Speicherung und Nutzung von 
Metadaten in dem System VERAS des 
BND wurden zur weiteren Verhandlung 
und Entscheidung abgetrennt (6 A 9.14, 6 
A 2.15). Das BVerwG ist für Klagen ge- 
gen den BND in erster und letzter Instanz 
zuständig. 

Nach dem Gesetz zur Beschränkung 
des Brief-, Post- und Fernmeldegeheim- 
nisses (Art. 10-Gesetz) ist der BND im 
Rahmen seiner Aufgaben berechtigt, die 
Telekommunikation (TK) zu überwachen 
und aufzuzeichnen. Bei der strategischen 
Fernmeldeüberwachung werden interna- 
tionale TK-Beziehungen anhand vorher 
festgelegter Suchbegriffe durchsucht. Die 
Kläger haben die Feststellung beantragt, 
dass der BND durch die Überwachung 
von E-Mail-Verkehr im Rahmen der 
strategischen Fernmeldeüberwachung in 
den Jahren 2012 bzw. 2013 ihr Fernmel- 
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degeheimnis aus Art. 10 GG verletzt hat. 
Das BVerwG wies die Klagen insofern 
als unzulässig ab und bestätigte damit 
eine Entscheidung aus dem Jahr 2014 zu 
einem anderen Überwachungszeitraum 
gegen Rechtsanwalt Niko Härting im Er- 
gebnis. Härting vertrat im konkreten Ver- 
fahren einen Kläger. In der Verhandlung 
erklärte der Vorsitzende: „Das Bundes- 
verwaltungsgericht ist kein öffentliches 
Tribunal, das die Tätigkeit des BNDs im 
allgemeinen und umfassend zu beurteilen 
hat.“ Vielmehr sei es seine Aufgabe zu 
entscheiden, ob eine bestimmte Maßnah- 
me der Exekutive die individuellen Rechte 
eines Klägers verletze. Dies setze ein kon- 
kretes Rechtsverhältnis voraus. 

Das BVerwG meinte, ein für eine Fest- 
stellungsklage nötiger auf konkreter, den 
jeweiligen Kläger betreffenden Sachver- 
halt sei nicht feststellbar gewesen. Unter 
den TK-Verkehren, die der BND in den 
Jahren 2012 bzw. 2013 als nachrichten- 
dienstlich relevant behandelt hat, dabei 
handele es sich um wenige hundert im 
Jahr, befinde sich kein E-Mail-Verkehr 
der Kläger. Auch die Protokollierung die- 
ser Vorgänge würden bereits zum Ende 
des Folgejahres gelöscht. Zwar sei nicht 
auszuschließen, dass zunächst E-Mail- 
Verkehre der Kläger erfasst worden sind. 
Der damit ggf. verbundene Eingriff in 
Art. 10 GG lässt sich aber nicht mehr 
feststellen. Selbst wenn solche E-Mails 
erfasst worden wären, wären sie wie 
alle anderen nachrichtendienstlich als 
irrelevant eingestuften Mails im Ein- 
klang mit den Bestimmungen des Artikel 
10-Gesetzes und den allgemeinen ver- 
fassungsrechtlichen Maßgaben für den 
Datenschutz unverzüglich und spurenlos 
gelöscht worden. 

Der BND ist zur Löschung solcher 
E-Mails verpflichtet, weil nach dem 
gesetzlichen Konzept eine Benach- 
richtigung der Betroffenen über die Er- 
fassung dieser E-Mail-Verkehre nicht 
vorgesehen ist. Dies stehe im Einklang 
mit Art. 10 GG i. V. m. Art. 19 Abs. 4 
GG, weil dadurch eine Vertiefung von 
Grundrechtseingriffen durch Spei- 
cherung der Daten einer unüberseh- 
baren Zahl von Grundrechtsträgern 
vermieden wird. Die damit verbunde- 
ne Rechtsschutzlücke sei wegen der 
Gewährleistung _kompensatorischen 
Grundrechtsschutzes durch die G10- 
Kommission hinnehmbar. 
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Die Klagen mit dem Ziel, eine Speiche- 
rung und Nutzung von Metadaten in dem 
System VERAS zu unterlassen, beurteilte 
das BVerwG als noch nicht entscheidungs- 
reif. Die in VERAS gespeicherten Meta- 
daten nutzt der BND zur Erstellung von 
Verbindungsanalysen. Nach Angaben des 
Dienstes werden die Metadaten aus dem 
deutschen Telefonverkehr „anonymisiert“ 
gespeichert. Das bedeute, dass die Telefon- 
nummer, IMEI und ISIM ab der sechsten 
Stelle gelöscht würden, alle anderen Da- 
ten wie die Funkzelle, die Zeiten des Be- 
ginns und Ende der Kommunikation und 
dergleichen bleiben erhalten. Dieses Vor- 
gehen des BND bedürfe weiterer gericht- 
licher Aufklärung. Für Prozessbeobachter 
zeichnet sich ab, dass das Gericht im wei- 
teren Verfahrensgang durch Sachverstän- 
dige begutachten lassen wird, inwieweit 
die in VerAS gespeicherten Daten auch bei 
anonymisierter Telefonnummer aufgrund 
weiterer Informationen einer Person zu- 
geordnet werden können. Als möglicher 
Gutachter war die Bundesbeauftragte für 
den Datenschutz und die Informationsfrei- 
heit (BfDI) Andrea Voßhoff im Gespräch. 
Das Gericht wird dem BND aber auch 
Gelegenheit geben, seinen Vergleichsvor- 
schlag zu prüfen: Dazu soll der Geheim- 
dienst die Kläger in einer Art Whitelist von 
der Speicherung in VerAS ausschließen. 
Ob dies möglich und sinnvoll sei, konnten 
die Vertreter der Behörde vor Ort nicht be- 
antworten und erbaten sich eine Bedenk- 
zeit (BVerwG, PM 15.12.2016 Nr. 105/16, 
Klage gegen BND wegen strategischer 
Überwachung von E-Mail-Verkehr in den 
Jahren 2012 und 2013 erfolglos; weiterer 
Aufklärungsbedarf wegen einer Speiche- 
rung und Nutzung von Daten im System 
VERAS; Gerber, Bundesverwaltungsge- 
richt lehnt Klagen gegen BND teilweise 
ab, www.heise.de 15.12.2016). 


BAG 


Mitbestimmungspflicht 
bei Facebook-Auftritt mit 
Posting-Funktion 


Das Bundesarbeitsgericht (BAG) in 
Erfurt entschied mit Beschluss vom 
13.12.2016, dass die Ausgestaltung einer 
Facebook-Seite, mit der ein Arbeitgeber 
Facebook-Nutzenden die Veröffentli- 
chung von sogenannten Besucher-Beiträ- 


gen (Postings) ermöglicht, die sich nach 
ihrem Inhalt auf das Verhalten oder die 
Leistung einzelner Beschäftigter bezie- 
hen, der Mitbestimmung des Betriebsrats 
unterliegt (1 ABR 7/15). 

Beklagter Konzern und Arbeitgeberin 
in dem Verfahren war der DRK-Blutspen- 
dedienst Westin Hagen. Bei den Blutspen- 
determinen sind ein oder mehrere Ärzte 
sowie bis zu sieben weitere Beschäftigte 
tätig. Sie tragen Namensschilder. Im April 
2013 richtete die Arbeitgeberin bei Face- 
book eine Seite für konzernweites Marke- 
ting ein. Bei Facebook registrierte Nutzer 
können dort Postings einstellen. Nachdem 
sich Nutzende darin zum Verhalten von 
Beschäftigten geäußert hatten, machte der 
Konzernbetriebsrat geltend, die Einrich- 
tung und der Betrieb der Facebook-Seite 
sei mitbestimmungspflichtig. Die Arbeit- 
geberin könne mit von Facebook bereit- 
gestellten Auswertungsmöglichkeiten die 
Beschäftigten überwachen. Unabhängig 
davon könnten sich Nutzende durch Pos- 
tings zum Verhalten oder der Leistung 
von Arbeitnehmern öffentlich äußern. 
Das erzeuge einen erheblichen Überwa- 
chungsdruck. 

Die Rechtsbeschwerde des Betriebs- 
rats gegen die Abweisung seiner Anträge 
durch das Landesarbeitsgericht Düsseldorf 
am 12.01.2015 (9 TaBV 51/14) hatte vor 
dem Ersten Senat des BAG teilweise Er- 
folg. Der Facebook-Auftritt alleine schade 
den Beschäftigten nicht. Der Mitbestim- 
mung unterliege aber die Entscheidung 
der Arbeitgeberin, Postings unmittelbar 
zu veröffentlichen. Soweit sich diese auf 
das Verhalten oder die Leistung von Ar- 
beitnehmern beziehen, führt das zu einer 
Überwachung von Arbeitnehmern durch 
eine technische Einrichtung im Sinne des 
8 87 Abs. 1 Nr. 6 BetrVG (Mitbestimmung 
des Betriebsrats beim Facebook-Auftritt 
des Arbeitgebers, BAG PM 13.12.2016; 
Bundesarbeitsgericht: Betriebsrat darf bei 
Facebook-Auftritt mitreden, www.heise. 
de 13.12.2016). 


Niedersächsisches OVG 


Speicherung gewaltbe- 
reiter Fußballfans weitge- 
hend zulässig 


Das Niedersächsische Oberverwal- 
tungsgericht (OVG) in Lüneburg ent- 
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schied mit Urteil vom 18.11.2016, dass 
die Polizei prinzipiell die Daten gewalt- 
bereiter Fußballfans speichern darf (Az.: 
11 LC 148/15). Mit der Klage gegen die 
Polizeidirektion Hannover erzielte ein 
weiblicher Fußballfan damit nur einen 
kleinen Teilerfolg. Die Frau hatte die 
Löschung von allen Einträgen über sich 
verlangt, gelöscht werden soll jedoch 
gemäß der Entscheidung nur einer. In 
der Berufungsverhandlung hatte die 
Klägerin mehrere Zeugenbeweisanträ- 
ge zu einzelnen Einträgen in der Datei 
gestellt. Der 11. Senat hatte einem Zeu- 
genbeweisantrag stattgegeben, der sich 
auf einen Eintrag bezieht, in dem eine 
Gefährderansprache am 12.07.2014 
vermerkt ist. Die Klägerin stellt unter 
Benennung von Zeugen unter Beweis, 
dass an diesem Tag ihr gegenüber eine 
Gefährderansprache nicht durchgeführt 
worden ist. Das OVG urteilte darüber 
aber ansonsten, dass die Einträge für 
die Erfüllung der Aufgaben der Polizei, 
Gefahren abzuwehren und Straftaten zu 
verhindern, weiterhin erforderlich seien: 
„Nach Ansicht des Gerichts wird die Ar- 
beitsdatei unter Beachtung datenschutz- 
rechtlicher Vorgaben geführt“. Eine Re- 
vision ließ das Gericht nicht zu. 

In dem Verfahren ging es um soge- 
nannte SKB-Dateien der Polizei (Ar- 
beitsdatei Szenekundige Beamte), die 
sich in der Fanszene auskennen. Solche 
Dateien werden von der Polizei in Han- 
nover, Braunschweig und Wolfsburg 
geführt. Dort sind nach Polizeiangaben 
derzeit rund 1200 Menschen aufgelistet. 
Gemäß einem Sprecher der Polizeidi- 
rektion Braunschweig liegt die Erfas- 
sung bei den zuständigen Dienststellen 
in Städten mit Vereinen aus der ersten, 
zweiten und dritten Fußballbundesliga. 
Dort seien rund 250 Menschen erfasst, 
in Wolfsburg etwa 200. Die szenekundi- 
gen BeamtInnen sollen alle Delikte rund 
um die Fußballspiele bearbeiten. Auch 
in der Prävention werden sie eingesetzt, 
etwa bei der Erstellung von Gefahren- 
prognosen vor Spielen. Auch mit den 
Fans stünden die BeamtInnen dabei in 
engem Kontakt. Gemäß einem Sprecher 
der Polizeidirektion Hannover verfügt 
jeder Standort über eine eigene Daten- 
sammlung. In Hannover seien rund 750 
Menschen erfasst. 

Das Verwaltungsgericht (VG) Han- 
nover hatte am 26.03.2015 die Daten- 
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speicherung in erster Instanz im März 
2015 für grundsätzlich zulässig erklärt 
und die Klage der Frau zum überwie- 
genden Teil abgewiesen (10 9932/14). 
Nur drei Daten müssten gelöscht wer- 
den, entschied das VG damals. Behör- 
den dürften Daten zum Zweck der Ge- 
fahrenabwehr erheben und speichern. 
Die Arbeitsdatei SKB diene auch der 
Verhütung von Straftaten. Bei straf- 
rechtlichen Ermittlungsverfahren er- 
hobene Daten dürften daher aber nur 


aufgenommen werden, wenn der Ver- 
dacht besteht, dass die oder der Betrof- 
fene künftig vergleichbare Straftaten 
begehen wird (Entscheidung über An- 
spruch auf Löschung personenbezoge- 
ner Daten in der „Arbeitsdatei Szene- 
kundige Beamte“ vertagt, http://www. 
oberverwaltungsgericht.niedersachsen. 
de 25.08.2016; OVG Niedersach- 
sen: Polizei darf Daten gewaltbereiter 
Fußballfans speichern, www.heise.de 
19.11.2016). 
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PERSÖNLICHKEITS- 
SCHUT 


Kühnl, Christina 

Persönlichkeitsschutz 2.0 — Profil- 
bildung und -nutzung durch soziale 
Netzwerke am Beispiel von Facebook 
im Rechtsvergleich zwischen Deutsch- 
land und den USA 

De Gruyter Berlin Boston 2016, 

99,95 €, 406 S. 

ISBN 978-3-11-048562-2 


(tw) Die Diskussion über den Daten- 
schutz im Internet hat inzwischen derart 
viele Facetten, dass einige der ursprüng- 
lichen und grundlegenden Aspekte nicht 
mehr mit der nötigen Aufmerksamkeit 
besprochen werden. Ein solcher Aspekt ist 
die Profilbildung, die insbesondere durch 
soziale Netzwerke erfolgt, von denen das 
weiterhin weltweit größte Facebook ist. 
Die unter der Anleitung von Prof. Peifer in 
Köln entstandene Doktorarbeit von Chris- 
tina Kühn] hat den Verdienst, die damit 
auftauchenden rechtlichen Fragen transat- 
lantisch zu behandeln und zu beantworten. 
Dabei verfolgt sie das äußerst lobenswerte 


Anliegen, eine möglichst große Schnitt- 
menge zwischen den US und Deutschland 
bzw. Europa zu finden, um auf dieser Ba- 
sis einen gemeinsamen regulierten Selbst- 
regelungsansatz — für einen transatlanti- 
schen Code of Conduct — zu finden. 

Dabei herausgekommen ist eine äußerst 
umfassende und tiefgehende Analyse des 
Facebook-Profilings sowie der rechtlichen 
Antworten in Deutschland und den USA. 
Dabei behandelt die Autorin in juristisch 
souveräner und sprachlich gut verständli- 
cher Art sämtliche Aspekte des Profilings, 
von den technischen über die materiell- 
rechtlichen bis hin zu den prozessualen, 
z. B. den Zuständigkeits- und Anwen- 
dungs-Fragen unter Berücksichtigung 
aller Ebenen — von der grundrechtlichen 
über die einfachgesetzliche — einschließ- 
lich der Datenschutz-Grundverordnung 
(DSGVO) - bis hin zur Rechtsprechung 
und zur Anwendung durch die Aufsicht. 
Für die deutsche LeserIn besonders auf- 
schlussreich sind dabei einerseits die tech- 
nische Beschreibung des Profilings durch 
Facebook sowie die sehr aktuelle, knappe 
und dennoch umfassende Darstellung des 
US-Datenschutzrechts 

Dabei erweist sich das Anliegen der 
Autorin, den Datenschutz in den USA und 
in Deutschland/Europa zusammenzubrin- 
gen, schon aufrechtlicher Basis als äußerst 
schwierig. Die Rechtsprechung des US- 
Supreme Court zur weiten Geltung des 
First Amendments (Meinungsfreiheit) und 
zur beschränkten Anwendung des Fourth 
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Amendmends (Schutz vor Durchsuchung, 
reasonable expectations of privacy) lässt 
sich nur — und das nur begrenzt — nach 
Europa transferieren, wenn die kritische 
Literatur und Minderheitenpositionen im 
Supreme Court (z. B. Sotomayor in der 
U.S. v. Jones-Entscheidung) zur Grundla- 
ge genommen werden. Betrachtet man da- 
gegen die Gesetzeslage, die herrschende 
Rechtsprechung sowie die Praxis, insbe- 
sondere auch der Federal Trade Commis- 
sion (FTC), dann könnte man verzweifeln. 
Doch das tut die Autorin nicht, sondern 
reiht die relevanten Informationen anei- 
nander, um eine möglichst faktenbasierte 
Einschätzung zu ermöglichen. 

Die Doktorarbeit wurde im November 
2015 angenommen; die vorliegende Text- 
fassung berücksichtigt Änderungen bis 
Mai 2016. Dies zwang die Autorin, nach- 
träglich die Safe-Harbor-Entscheidung 
von Oktober 2015, die DSGVO und das 
Privacy Shield einzuarbeiten. Dies erfolg- 
te bruchfrei, wenngleich dabei die Rele- 
vanz dieser rechtlichen Umstände nicht 
hinreichend gewürdigt werden konnte und 
die Bewertung des Privacy Shield allzu 
optimistisch ausfällt. Auch mag der Re- 
zensent nicht alle dargelegten Positionen 
teilen, die aber (damals) sämtlich der in 
Deutschland herrschenden Meinung ent- 
sprachen, etwa wenn bei der Frage zur 
Verantwortlichkeit die gezielte Arbeits- 
teilung zwischen Fanpagebetreibern und 
Facebook nicht gesehen wird, zu stark 
an die tatsächliche Datenverarbeitung 
anknüpft und nicht an die ökonomischen 
Interessen, wenn der Einwilligung eine 
zu hohe Legitimationskraft zugesprochen 
wird oder die Geheimhaltung von Aus- 
wertungslogiken durch die Verantwortli- 
chen akzeptiert wird. In jedem Fall wird 
der Meinungsstand qualifiziert referiert, 
so dass die Meinungsbildung der LeserIn 
eine gute Grundlage erhält. 

Da es sich bei der Arbeit um eine ju- 
ristische Dissertation handelt, blendet sie 
ökonomische und politische Aspekte weit- 
gehend aus. So richtig dies dogmatisch ist, 
so schwer erschließt sich die faktische 
Unmöglichkeit des rechtlichen Anliegens 
der Autorin — den transatlantischen Daten- 
schutz zu versöhnen. Dies ändert nichts 
an der Richtigkeit des Anliegens und auch 
nicht daran, dass diese Arbeit hierfür äu- 
Berst hilfreich ist. Ob diese Fakten in den 
postfaktischen Zeiten eines US-Präsiden- 
ten Trump noch Wirksamkeit entfalten 
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werden, kann erst die Zukunft erweisen. 
Das Werk ist für alle, die zum Profiling, 
zu sozialen Netzwerken und zum transat- 
lantischen Datenschutz arbeiten, eine gro- 
Be wertvolle Hilfe. Insofern hat sie — auch 
wenn dies nicht ihr primäres Anliegen ist 
— hohe Relevanz für die praktische Um- 
setzung der Profiling-Regelung in Art. 22 
DSGVO. 


Paal, Boris P./Pauly, Daniel (Hrsg.) 
Datenschutz-Grundverordnung 
2017, 891 S., ISBN 978 3 406 69570 4, 
99,00 € 


(tw) Nach einer Vielzahl von systema- 
tischen Darstellungen (DANA 2016, 158 
f., 206 ff.) liegt nun die erste umfassende, 
sich ausschließlich der europäischen Da- 
tenschutz-Grundverordnung (DSGVO) 
widmende Kommentierung vom C. H. 
Beck-Verlag vor. Dabei betreten neue Au- 
toren die Bühne der Datenschutz-Kom- 
mentare: Neben den Herausgebern, einer 
Professor in Freiburg, der andere Anwalt 
in Frankfurt, haben beigetragen Stefan 
Ernst, Anwalt aus Freiburg, Eike Micha- 
el Frenzel, Dozent in Freiburg und Ma- 
rio Martini, Professor in Speyer. Barbara 
Körffer, stellvertretende Landesdaten- 
schutzbeauftragte in Kiel, welche mit dem 
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Hintergrund eigener Praxiserfahrung die 
Regelungen zur Datenschutzaufsicht und 
zur Kohärenz bearbeitete, war bisher mit 
Kommentierungen zum BDSG im Gola/ 
Schomerus vertreten. Doch sind auch die 
anderen Autoren publizistisch im Daten- 
schutz keine Unbekannten. 

Das Ziel des Kompakt-Kommentars 
war es offensichtlich, schnell, nämlich 
schon im Oktober 2016, auf den Markt 
zu kommen, weshalb der Anspruch nicht 
darin besteht, eine vertiefte Bearbeitung 
zu bieten; sie soll vielmehr „kurz und bün- 
dig“, so die Werbung, sein. Dass hierfür 
dann doch eine Menge Papier bedruckt 
werden muss, zeigt, dass die DSGVO eine 
sperrige Materie ist. Den AutorInnen ge- 
lingt es aber, diese so darzustellen, dass sie 
handhabbar wird, indem die Genese, die 
Erwägungsgründe und die Regulierung 
zueinander in Bezug gesetzt werden. Zu 
kurz kommen zwangsläufig oft praktische 
Anwendungsfragen, was auch dem wis- 
senschaftlichen Hintergrund der meisten 
Autoren geschuldet sein dürfte. Während 
aber die bisherigen systematischen Dar- 
stellungen jeweils eine akribische Suche 
der Rechtsquellen nötig machen, sind die- 
se hier gemäß der Systematik der DSGVO 
leicht und nachvollziehbar erschlossen. 
Die Kommentierungen verweisen auf ak- 
tuelle Literatur und geben erste Hinweise, 
die für die Auslegung relevant sind. Dass 
dabei nicht immer ins Schwarze getrof- 
fen wird, etwa bei der Bearbeitung der 
Geheimnisregelungen, war wohl nicht zu 
vermeiden. Die Grundgedanken der DS- 
GVO, Literaturhinweise, Verweise auf die 
Rechtsprechung des EuGH und manche 
weitere Auslegungshilfe sind zu finden. 
Insofern ist die Kommentierung eine nütz- 
liche Hilfe. 
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Daten als das neue Ol, dasneue Gold, als Währung, als 
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tung von Daten für die digitale Entwicklung zu unterstrei- 
chen. Mittlerweile hat wohl jeder verstanden, dass Daten 
auch zu attraktiven Wirtschaftsgütern geworden sind. 


Thomas de Maiziere in einem Gastbeitrag des Tagesspiegel vom 16.02.2017 
http://www.tagesspiegel.de/politik/data-debates-datenschutz-ist-kein-selbstzweck/19391956.html 


